携帯キャリアSprintがユーザに無断でプリインストールした診断ソフトの恐ろしさ(ビデオ)

次の記事

中小サービスが簡単にオンライン予約を導入できるGenbook、米国内予約取扱件数が1000万件を突破

ciq

Carrier IQをめぐる騒ぎについては、すでにみなさんご存じだろう。Sprintの携帯電話に最初からインストールされているこのソフトは、それを調べたデベロッパたちによると、ユーザのアクションや入力を検出、記録、そして送信できる。たとえば、位置、SMS、そして打鍵(どのキーをたたいたか)などの情報だ。

このニュースは数か月前からデベロッパ用のフォーラムなどで流布していたが、しかしセキュリティ研究家のTrevor Eckhartが概要記事を発表すると、彼は停止命令を喰らい、Sprintは彼のその告発を激しく否定して、”弊社はこのツールを使ってメッセージの内容や写真やビデオ等々を見ていないし、見ることはできない”、と言った。

停止命令はすぐに取り下げられたが、Eckhartは今度はビデオを発表して、SprintとCarrier IQ両社の確言は嘘だ、と主張している。

このビデオの詳細分析と関連のコードが、ここにある。

ちょっと気をつけなければならないのは、Eckhartには情報を偽造する理由はないけれども、このデバッグログの内容が技術的に不正確であることはありえる。またその結論は、彼のハンドセットとソフトウェアのバージョンにのみ適用されるものかもしれない。またこのログは、これらの情報が実際にどこかに送信されたことを証明してはいない。

しかしそれでも、CIQにはこれらの情報がすべて見えているわけだから、それを記録したり送信することも、容易にできたはずだ。実際にそれをしたか、しなかったかは重要ではない。なぜならSprintとCIQはどちらも、それはできない、と言っているのだから。CIQ の主張では、このソフトは:

-ユーザのキーストロークを記録しない。
-トラッキングツールを備えていない。
-メールやSMSなどユーザの通信の内容を調べたり外部に漏らしたりしない。
-いかなる顧客にもリアルタイムのデータ報告を提供しない。
-Carrier IQはデータを外部に販売していない。

これらの声明を見ると、言葉は細心に選んでいるようだ。でもこのアプリケーションが問題の情報にアクセスできることは、上のビデオからも明らかだから、上に羅列されている一連の”〜しない”は、彼らがそう設定した、ということにすぎない。このソフトをユーザの携帯電話にプリインストールした理由としてCIQは、現在起きている問題の把握、などを挙げているが、しかしそのために、これだけのユーザ情報にアクセスする必要はないはずだ。しかもかんじんのユーザには、自分のデータが”品質保証層”とやらに行っているなんてことが、まったく知らされていない。彼らは非難に対して怒っているが、その怒りも、しらじらしいと感じられてくる。

多くのデベロッパが指摘しているように、このようなソフトがユーザの電話機の上に知らない間にあること自体が、明らかにユーザの不利益である。このソフトを削除すると、スピードも電池寿命も改善されるらしい。WiFi上のセキュアなハンドシェイク情報は、暗号化されずにこのソフトへ行く。しかもそのことは、キャリアの保証外になる。その情報が一時的にキャッシュされるだけでも、セキュリティのリスクなのに。

こんなソフトが本当に必要なら、そのことをユーザに完全に説明し、安全にオプトアウトできるオプションを設けるべきだ。現状では、Carrier IQのこのソフトは、過剰に侵襲的であり、セキュリティ上の疑念が大きすぎる。Sprintは可及的速やかに、ユーザと社会に対し、適切な説明をすべきだ。なお、このソフトはROMに焼き付けてあるので、ROMを交換しないかぎり削除は不可能だ。

[原文へ]
[jpTechCrunch最新記事サムネイル集]
[米TechCrunch最新記事サムネイル集]
(翻訳:iwatani(a.k.a. hiwa))