あぽーちゃんねる

公衆Wi-Fi「コネクトフリー」、無断でユーザー情報を傍受、Twitter IDなど

東京の公衆無線LANサービス「コネクトフリー」が無断で利用者の情報を収集していたとの指摘を受けている問題で、同社は指摘を事実と認め謝罪した。

ネクトフリーは、Webブラウザ利用中にバナー広告を表示する代わり、公衆無線LANを無料で使える。今回、収集していたことが明らかになった利用者の情報は、ネットワーク機器の識別番号「MACアドレス」をはじめ、SNS「Facebook（フェイスブック）」やミニブログ「Twitter（ツイッター）」のアカウントID、端末のユーザーエージェント情報、アクセス期間、閲覧しているURL。

これに加え利用者数の把握のために、アクセス解析サービス「Google Analytics」を使っていたほか、アクセスポイントを設置している特定の1店舗でAmazonアフィリエイトプログラムを試験運用していた。

Facebook、TwitterのアカウントIDについては、簡易に把握できるセキュリティ強化のための情報として自動取得していたという。

http://news.nicovideo.jp/watch/nw158755

参照：公衆無線LAN「ConnectFree」利用するとAmazonアフィなどが勝手に組み込まれることが発覚 http://applech.blog.2nt.com/blog-entry-80.html

IS05、LifeLogServiceを利用するアプリケーションたち(grep結果)

（一部抜粋）
./AddressBook.odex:DLjp/co/sharp/android/lifelog/database/data/LifeLogMixiDataContainer; (Mixiのログ)
./AddressBook.odex:ELjp/co/sharp/android/lifelog/database/data/LifeLogQueryDataContainer; (検索記録)
./AddressBook.odex:FLjp/co/sharp/android/lifelog/database/data/LifeLogResultDataContainer; (検索結果)
./AddressBook.odex:GLjp/co/sharp/android/lifelog/database/data/LifeLogTwitterDataContainer; (Twitterのログ)
./Contacts.odex:ELjp/co/sharp/android/lifelog/database/data/LifeLogPhoneDataContainer; (通話記録)
./FSoneseg.odex:BLjp/co/sharp/android/lifelog/database/data/LifeLogTVDataContainer; (ワンセグ視聴記録)
./LifeLog.odex:CLjp/co/sharp/android/lifelog/database/logging/LifeLogAlarmRegister; (何時に起きているか)
./LifeLog.odex:DLjp/co/sharp/android/lifelog/database/logging/LifeLogCameraRegister; (カメラのログ)
./MuiTest.odex:LLjp/co/sharp/android/lifelog/database/logging/LifeLogContactManagerRegister; (連絡先データ)
./MuiTest.odex:LLjp/co/sharp/android/lifelog/database/logging/LifeLogPictureManagerRegister; (写真フォルダのデータ)

http://pastebin.com/QcxXTAUx

KDDIによるライフログの解説

ライフログとは、人の行動の記録をデジタルデータに残していくこと。
個人がブログやSNSなどのWebサービス上に、行動の記録を残すことのほかに、
ショッピングサイトを利用して購入したモノ、Webサイトで閲覧した履歴まで、あらゆるWeb上の行動がライフログとして残る。
ライフログには消費者の本音が表され、マーケティングの分野に活用される。

http://www.kddi.com/yogo/ICT%E7%A4%BE%E4%BC%9A%E3%81%A8%E7%92%B0%E5%A2%83/%E3%83%A9%E3%82%A4%E3%83%95%E3%83%AD%E3%82%B0.html

※あぽーちゃんねる管理人注 韓国内のニュース記事なので注意

通話記録、携帯メール、位置情報など携帯電話の個人情報を、ユーザーに内緒で収集する米「キャリアＩＱ」に似たソフトウェアが、三星（サムスン）電子のスマートフォンからも見つかった。ギャラクシーＳとギャラクシーＳ２の基本プログラムである「鏡」や「データ通信設定」、「プログラムモニター」の３つのアプリケーション（応用プログラム）が、キャリアＩＱと同様の機能をしていることが確認された。

東亜（トンア）日報は３日と４日、高麗（コリョ）大学・情報保護大学院と共に、「キャリアＩＱ」が国内の携帯電話に設置されているかどうかについて調査を行った。調査の結果、国内携帯電話にはキャリアＩＱは設置されていなかったが、アプリの目的とは関係なく、個人情報収集の権限を持っているアプリの存在が確認された。

ギャラクシーＳのアプリ「鏡」は、カメラで自分の顔を映す単純なアプリ。ところが、端末に保存した連絡先や、△カレンダーの日程、△位置情報、△携帯メール（ＳＭＳ）の内容、△写真、△録音内容など、スマートフォン内部の４０以上の機能に、自由にアクセスできるように設計されていることが分かった。

メーカー側がその気さえあれば、ユーザーが保存した連絡先を削除したり、位置情報を操作することができ、ＳＭＳを覗いたり録音を聞くことができる。この情報はマーケティングの目的で使うこともできる。顔だけ見せるアプリに、スマートフォンを自由に操る力を与えたことになる。

無線データで第３世代（３Ｇ）通信網を使うかワイファイを使うかを選ぶ「データ通信設定アプリ」や、スマートフォンで実行中のプログラムやメモリー状態を管理する「プログラム管理」にも、鏡アプリとと同様の権限を与えている。

三星電子が、同アプリでスマートフォンのユーザー情報を収集したかどうかは不明だ。三星電子は、同アプリが、個人情報流出に悪用されかねないことを、ユーザーらに前もって告知しなかった。鏡アプリなどは、基本的に設置されたアプリで、ユーザーが削除することはできない。

高麗大学・情報保護大学院の金昇柱（キム・ズンジュ）教授は、「過度な権限を持つアプリをメーカーが顧客に説明せずに取り付けるなんて、ショックだ」と話した。これについて三星電子は「開発者の単なるミスだ」と釈明した。

http://japan.donga.com/srv/service.php3?biid=2011120528108

※関連スレ
・【携帯】 何百万台ものスマートフォンに、操作データなど全てを盗み見るソフトが仕込まれていた…米でCarrier IQ騒動
http://uni.2ch.net/test/read.cgi/newsplus/1322808662/

通話・書き込み・位置情報…全て筒抜けキーロガー「CarrierIQ」Android端末から続々発見か？過去にはiOSにも
http://applech.blog.2nt.com/blog-entry-72.html

http://twitter.com/HiromitsuTakagi

調査対象はこれ。http://connectfree.jp/service/
うわー私の著作物の同一性保持権が侵害されているうーー。 http://twitpic.com/7o89v6
勝手にGoogle Analyticsを埋め込まれているようだが……。
私のサイトのGoogle Analyticsなのに、私にはアクセス解析の結果を見ることはできない。見ているのは誰なのか？
私の日記にはGoogle Analyticsが設置されていないのに、Google Analyticsのcookieが私のサイトに対してセットされた様子。 http://twitpic.com/7o937y
少なくともGoogle Analyticsの規約違反だな。
なるほど、UA-21255653-1 は http://connectfree.jp/service/ に埋め込まれているGAのIDか。そして、UA-21255653-2 と UA-21255653-3 が改竄した全てのページに埋め込まれていると。
GAのtrackEventのCID（接続端末のMACアドレス）ごとに、一人一人の利用者が、いつ、どこで、どのサイトを閲覧したか、すべてがconnectFreeの運営者に集約されると。
https:// ページではさすがに何も改竄されないようだ。
電気通信事業法第4条違反ではないかという気がしてきたが、どうか。

if (!((document.location+"").match("://www.amazon.co.jp/"))) {
（略）
this.href = uri_rewrite(this.href+"", {'tag':'cfnetwork-22'} ) });

@HiromitsuTakagiが投稿

auのシャープ製Androidスマホ「INFOBAR」でjp.co.sharp.android.lifelog.databaseパッケージの「LifeLogService」なるサービスが購入時から稼働していていることについて、KDDIに問い合わせた件

…10月28日に回答があり、問い合わせのやり直しを要求し、質問事項「このLifeLogServiceは、何を取得するもので、
何を記録するものか。」としたことは、http://t.co/F3baxSHD に書いていた。その後、時間をかけて調べた上での再回答が、11月18日にあった。

11月18日のKDDIの回答「KDDIとシャープ合わせての回答。LifeLogは、Android端末の各機能を正常に機能させるためのサービスである。それ以上の回答はない。」「アプリ自体が単体で何かをするというわけではなく、Android OSのサービスの機能のために入っている。」

続き「ご質問としては、何を記録するものか確認して欲しいとのことだったが、このアプリ独自で何かをするというものではなく、KDDIとしては、機能を正常に動かすためのアプリのひとつであるという認識で販売してる。そのため取り扱い説明書にもとくに記載していない。」

「何を記録するものか」という質問には答えないので、「その点には答えないということか」と問い質したが、延々はぐらかされて堂々巡りとなったため、上司から改めて回答するとの展開に。翌19日、上司からの回答があった。

>>2以降に続く

http://togetter.com/li/222346

消費生活アドバイス　平成２３年１２月２日

スマートフォン等で撮影した写真をブログにアップすると撮影場所が特定されることがあるので注意しましょう。

スマートフォン・携帯電話のカメラやデジタルカメラには、ＧＰＳと連動させる機能のある機種があり、旅先で撮った写真等の位置情報を残すことができます。しかし、位置情報の付加設定をＯＮにしたまま撮影し、その写真をブログ（インターネット上の日記）にアップすると、意図せずに位置情報をインターネット上に公開してしまうこともありますので、注意が必要です。

～相談事例～

スマートフォンで撮った室内の写真をブログにアップしたところ、位置情報を第三者に知られてしまった。数年来、ブログを更新しており、お気に入りの写真をデジカメで撮ってブログに載せている。最近スマートフォンを購入し、スマートフォンで撮った写真をアップしたところ、知人から｢写真をクリックすると自宅住所がわかってしまう｣と注意された。写真のデータ情報を見ると、緯度経度が載っておりネット上の地図で確認すると、所在地がわかってしまう。携帯電話会社へ問い合わせたところ、設定により非表示にすることができると言われたが、知らない人も多いと思う。（50代　女性）

～アドバイス～

写真をインターネット上で公開する際は、自分のスマートフォン、デジカメ等にＧＰＳ機能がついているか確認し、不要であれば、ＧＰＳ連動の設定はＯＦＦにしましょう。スマートフォン、携帯電話、GPSを内蔵したデジカメ等には、撮影時にジオタグ(写真画像やデジタルデータに添付する位置情報)を画像に付加する機能がついている商品があります。 旅行先などで撮った写真の撮影場所がわかる機能はとても便利ですが、使い方を誤ると、自分の個人情報を期せずして第三者へ開示することになります。購入時に既に位置情報の付加設定がＯＮになっている機種もありますので、自分が使用している機器を確認し、不要であれば設定をＯＦＦにしましょう。

以上、スマートフォンやデジカメなどの位置情報に起因する特徴をよく理解したうえで、賢く利用しましょう。

http://www.shouhiseikatu.metro.tokyo.jp/sodan/kinkyu/shohi_advice.html

キャリアが仕込むプライバシー侵害アプリ、Carrier IQの発見、対処法―iPhone版も存在した

Carrier IQという強力な携帯ロガーが多くの機種で多くのキャリアによってプレインストールされていることが果敢な独立のエンジニア、Trevor Eckhartによって発見されたことはわれわれの記事ですでに知っている読者も多いだろう。

Eckhartの調査によれば、Carrier IQはユーザーがどんなアプリを使っているかはもちろん、位置情報、キー入力情報までありとあらゆるユーザー情報にアクセス可能だという。恐ろしい話だが、Carrier IQは「こうした情報を収集するのはユーザーのため」だと主張している。

Carrier IQではこれらの情報はユーザー体験を改善するために利用されるとしているが、そのようなおどろくほど広範囲な情報にCarrier IQのアクセスを許したくないユーザーはどう対処すればいいいのか？　またそもそも自分の携帯がCarrier IQに汚染されているかどうかをどのように調べればよいのか？

携帯にCarrier IQがインストールされているか？

Eckhartの最初のレポートでは、Carrier IQはHTCとSamsungのデバイスで発見された。アメリカのキャリアでCarrier IQを利用して情報を収集していたのはSprintだが、AT&Tも利用しているようだ。XDA-devフォーラムがAT&Tにメールしたところ、 Carrier IQは事実、HTC Vividにプレインストールされていると確認された。 他のキャリヤ、 Verizon,、Vodafone、O2はCarrier IQをインストールしていないと述べた。

iPhoneはどうか?

当初、Carrier IQに汚染されているのはAndroidデバイスだけと見られていたが、iOSのハッカーchpwnによれば、Carrier IQのあるバージョンがiOS 3.1.3以降にインストールされていたという。ただし、Android版に比べるとiOS版は収集する情報の範囲はそれほど広くないようだ。chpwnは「iPhone版はユーザーが入力したテキストやウェブ履歴、パスワード、テキスト・メッセージなどへのアクセス能力はないようだ。したがってそのようなデータがキャリアに送信されたことはないはず」と述べている。

chpwnによればiOS 5版はほとんど無害だが、以前のiOS版はなんらかの情報を送信していた可能性があるという。セキュリティーを真剣に考えるユーザーならば、できるだけ早くiOS 5へのアップデートを行うべきだろう。

http://jp.techcrunch.com/archives/20111201carrier-iq-how-to-find-it-and-how-to-deal-with-it/