2011年10月10日(月曜日)
AppLogサービス停止
公開: 2011年10月15日16時25分頃
AppLogのサービス停止だそうで。ついでにapp.tvも停止しています。
- AppLogSDKに関する公式見解 (www.applogsdk.com)
- AppLogSDKサービスの停止に関して (www.applogsdk.com)
- app.tvサービス停止に関して (milog.co.jp)
株式会社ミログ(以下、弊社)が2011年9月28日に公開したAppLogSDKに関して、一部ご指摘頂いている脆弱性の対応及び、AppLogSDKのサービスをよりよいものへと改善していくために、AppLogSDK全てのサービス、情報収集送信を停止させて頂きます。
以上、AppLogSDKサービスの停止に関して より
脆弱性というのはこれですかね。
- AppLogのオプトアウトの仕様の脆弱性について (typex2.wordpress.com)
このAPIは端末とサーバ間で何ら認証を行っておらず、第三者がANDROID_IDを収集し、上記のリクエストをサーバに行えば、不正にオプトアウトの状態を変更することができることが確認できた。
(~中略~)
AppLogSDKが組み込まれたアプリが、ユーザにログ収集の同意確認画面を表示されるのは、”notification”:{“enable”:true} の場合であるため、第三者に不正にオプトアウトの状態を変更されると、ユーザにログ収集の同意確認画面を表示することなく、ログ収集を行うことが可能である。
以上、AppLogのオプトアウトの仕様の脆弱性について より
勝手に他人のオプトアウトを解除してオプトイン状態に変更することができるという話。しかも、変更されたことは通知されないようで。
脆弱性というより、最初から認証をしようとしていない感じがしますが……。
そして、脆弱性がどうこう言う以前の問題がありそうな感じもしますが……。
- 「AppLogサービス停止」にコメントを書く
app.tvが同意前に情報を送信している話
公開: 2011年10月15日16時0分頃
AppLogの開発会社が作っているapp.tvという別のアプリケーションについて、こんな話が……「株式会社ミログのAndroidスパイアプリ問題について (blog.sakichan.org)」。
前節の話、普通に読めば、利用許諾とプライバシーポリシーに同意して、そこではじめて「アプリケーション情報を取得」が行われる、と思うだろう。が、そうではない。app.tv 発表のプレスリリースにも登場する、【闘牌伝説アカギ】日テレオンデマンドというアプリを Android エミュレータにインストールし、起動して利用規約同意画面までたどり着いたところでしばらく置いておいた。そうすると、 log.friend-app.com というサイトに自動的に通信を始めて、起動アプリの情報とインストールアプリの情報を送信した。つまり、同意とか関係ない、という動作をするのだった。
なんと、同意する前に情報を送信し始めるというお話のようで。これは完全にアウトですね。
バグなのかどうか良く分かりませんが、仮にバグだとすると、元々オプトインではなくオプトアウトを想定して作っていて、後から急ごしらえでオプトインに変更したのでこうなってしまった……というところでしょうか。
ところで、興味深いのはコメント欄。
>app.tv は 利用者の許諾なく、端末内のアプリ情報を送信する
とありますが、すべてのAndroidのアプリはインストール時にアプリのアクセス権限についてユーザーが同意しているはずです。
まず、アプリケーションがアクセス権限を求めても、その権限で実際に何をするのかまでは分かりません。たとえば、インターネットに接続して情報を送るといっても、何をどこへ送るのかによって意味合いがまったく違ってきます。ユーザーが許諾したと言っても、何でもして良いと思って許諾しているとは限らないわけです。
また、詐欺や錯誤がないということも必要です。ユーザーを騙して、あるいは勘違いさせて許諾をさせることはけっこう簡単なのですが、そのような許諾は有効な許諾とは言えないでしょう。
この話に限りませんが、「とにかくユーザーに同意ボタンを押させさえすれば問題はない」という考え方は通用しない場合も多いので、注意した方が良いでしょう。
- 前(古い): 2011年10月7日(Friday)のえび日記
- 次(新しい): 2011年10月11日(Tuesday)のえび日記
