Android版のFacebookアプリ、初回起動時に端末の電話番号を自動で送信 57
ストーリー by headless
送信 部門より
送信 部門より
シマンテックの調査によると、Android版のFacebookアプリが端末の電話番号を外部へ送信していることが検出されたそうだ(Symnantec Official Blogの記事、
マイナビニュースの記事、
ケータイWatchの記事)。
初めてFacebookアプリを起動すると、ログイン操作などをしなくても端末の電話番号がインターネット経由でFacebookのサーバーに送信されるとのこと。Facebookでは電話番号の利用などはしておらず、すでにサーバーから電話番号を削除したとのことで、アプリは次期リリースで修正を行う予定だという。ケータイWatchの記事によれば、Facebook側はバグが原因と説明しているそうだ。シマンテックでは、ほかのアプリについても調査を進め、個人情報の漏えいにつながるアプリに関する情報を発表する予定とのことだ。
初めてFacebookアプリを起動すると、ログイン操作などをしなくても端末の電話番号がインターネット経由でFacebookのサーバーに送信されるとのこと。Facebookでは電話番号の利用などはしておらず、すでにサーバーから電話番号を削除したとのことで、アプリは次期リリースで修正を行う予定だという。ケータイWatchの記事によれば、Facebook側はバグが原因と説明しているそうだ。シマンテックでは、ほかのアプリについても調査を進め、個人情報の漏えいにつながるアプリに関する情報を発表する予定とのことだ。
認証なしで情報を取得? (スコア:5, 興味深い)
> Google Playでアプリをダウンロードする際、アプリに端末内の情報をどこまで受け渡すか認証がある。今回の電話番号漏洩はバグであるため、この認証なしで情報を取得していた形になる。
もしこれがこの文章の通りだとしたら、Facebookのバグではなく Android OSのバグなんじゃ?
Re:認証なしで情報を取得? (スコア:2, 参考になる)
ごく普通に「端末のステータスと ID の読み取り」の権限が付いています。
Re:認証なしで情報を取得? (スコア:2)
なるほど。そうすると「認証なしで情報を取得していた」というケータイウォッチの記事が誤報ということになるのでしょうか。
Re: (スコア:0)
バグで送信されてしまうかもしれないのだから、アプリ開発元の自己申告を信用する奴はバカと。
Re: (スコア:0)
バグで送信・・・
そういうコード書かなくてもデフォルトで送信されて、コード書いてそれを無効にする(これを忘れた)、ってんならわかるけど、
どうやったらバグで勝手に送信されてしまうんだろう。
テストでは送信データに電話番号を含めてたが、製品版ではこれを省く予定だったが忘れてた、ってことなんだろうか。
これバグといえるのか。LINEもバグと言い出すぞ。
Re: (スコア:0)
やっぱり「『バグ』で送信」とか、もっと皮肉のニュアンスが伝わりやすいように書いたほうがよかった?
Re: (スコア:0)
「バグ」ではなく「バカ」とか?
Re: (スコア:0)
最初に記事を見た時は端末の電話帳ぶっこ抜いてるのかと思いましたが自身の電話番号なんですね。
フェイスブックアプリはその他のアクセス許可を見ると「ソーシャル情報-通話履歴の読み取り」とかまであって何に使うんだよって気持ちになりました。
Re: (スコア:0)
高度の情報についてはページが分離されているので、ユーザーがわざわざ選択しないと見ることができないかもしれないのでAndroid OSのバグとは限らない。(最近仕様が変わったようだけどね)
ほう、これがInsightの威力か (スコア:5, 参考になる)
Symantec blogにあるように、ノートンモバイルセキュリティに「Insight機能」が加わってます。
で、Windows版のInsightと異なり、Android版のInsightはSymantec側の仮想環境でアプリを実行し、本当に外に出る情報をチェックしているので、仮にパーミッションが入っていても外部にデータを出さない|出すを判断してユーザーに通知するということです。
※日本での説明によると有償アプリもチェック対象とのこと。
で、facebookアプリは「端末のステータスと ID の読み取り」のパーミッションがあるので、facebookアプリが電話番号を知ることができます。で、Insightはアプリが取得した電話番号をサーバーに送信していることをチェックできるというのがここのミソで………要するにアップデートに合わせての宣伝ですね。
一方、「ウイルススカウター」も端末のステータスとIDの読み取りの許可を取っている (スコア:3, 興味深い)
日本のノートンで「ウイルス スカウター [google.com]」というARアプリを使ったキャンペーンをしているんですが、これが「端末のステータスと ID の読み取り / 実行中のアプリの取得」のパーミッションを要求するんですよね(´・ω・`)
キャンペーンに乗って、この手のアプリをホイホイインストールするのがバカなのかと思っちゃうわけですが。
Re: (スコア:0)
ホコxタテと思ってウイルススカウターをノートンモバイルセキュリティのインストールしようと思ったら、対象OSでないと怒られた
※どうせ2.2マシンですよー(´・ω・`)
関連トピック? (スコア:5, 参考になる)
前にLINEでも意図せず情報が送信されちゃう、というバグがありましたが。
スラッシュドットでも話題になっていた気がしたのですが、トピックが見つからず……。
とりあえずこの件 [fc2.com]です。
Re: (スコア:0)
自分の電話番号だけではなく、電話帳に入っている情報すべて吸い上げるLINE様の方が凄いよね
Re: (スコア:0)
その筋の人たちには個人情報を簡単に収益化する手段があるのだろうか?
おや・・・だれかきたようだ
Re: (スコア:0)
他人の電話帳に自分の番号が載ってたら、LINEに吸い上げられるのを止められないんだよね
Re: (スコア:0)
世の中の流れでLINEを使わざるを得なくなったから
せめて自分からは流出しないように電話帳を参照しない設定にしてる。
これで自分からの流出はないんだろうか。
バグねぇ… (スコア:3, すばらしい洞察)
>Facebook アプリを初めて起動したときに、ログインしていなくても、電話番号がインターネット経由で Facebook のサーバーに送信されます。電話番号の入力もログインも不要で、特定の操作を行う必要もなく、それどころか Facebook アカウントすらなくても、この処理は実行されてしまいます。
なんと高度なバグか!!!
>Facebook 社は、電話番号の利用や処理はしておらず、すでにサーバーから電話番号を削除したとしています。
バグによる情報送信なのにサーバに保存されていたのか!!なんと高度で不思議なバグか!!!
Re:バグねぇ… (スコア:3, 興味深い)
単にXMLかJSONの情報をまるまる保存していただけかもしれないので、別に高度ではない。
Androidなんて未知のデバイスがどんどんくる可能性があるので、Android自体が送ってきた端末情報をそのまま保存しておくほうが楽。むしろバラして独自フォーマットに格納しなおすなんて無駄だし。
# うちのNexus 7は電話番号なんかないから関係ないし、電話番号がないことで不具合もないよ。
Re: (スコア:0)
orz...こっちは擁護したい。言い回し直しミスなんだ。
Re: (スコア:0)
Nexus7-3G版ですが、私ですら契約時にちらっと見て忘れてた電話番号がFacebookに「これはあなたの電話番号ですか?」と、表示されて「すごいなー」程度に思っていました。Facebookから認証するとSMSを送信しているようでしたが、通信専用番号のため、当然届かず。
正直、きちんと認証してくれるなら電話番号なんてすぐに変えられる情報どうでもいいです。固定電話なら得られる情報があるでしょうが、携帯番号なんて個人情報だと思っていません。
Re: (スコア:0)
これか!
最近、Facebookから見知らぬ電話番号を表示して「あなたの電話番号ですか?」って通知が来たので、「いいえ」と押して削除させてました。
てっきり誰かがアカウント乗っ取りを試しているのかと。
そういえばタブレットの契約があったんだった。
いや、データ通信用のSIMか?
Re: (スコア:0)
けっきょくユーザー情報を軽んじているからこういうバグを出してしまうわけなんだな
Re:バグねぇ… (スコア:2)
個人情報の不正取得と不正送信は刑事罰の対象にしないと駄目だと思う。
単なるプライバシーの侵害とか損害賠償の対象というだけでは、悪質な業者はいつまでもルールを軽んじる。
敢えて言おう。カスである!と。
Re: (スコア:0)
>悪質な業者はいつまでもルールを軽んじる。
刑罰が軽いからルールを軽んじるんじゃなくて
刑罰が重かろうと軽かろうと最初から守る気がない
で、悪質業者のルールに対するアクションは2つ
・抜け道をつく、裏をかく(これはルール側に問題があって真っ当なアプリの足かせに…)
・逆手に取る(全国電話帳とかいうアプリで実際にありましたね)
Google Play自体が無法地帯で、各不正業者ごとに泥縄式の対策をしなければいけない仕組みである以上、刑罰とか重くしても抜本的対策は無理かなと。
刑罰が重くなったら、いざという時に捕まるリスクがある部分は「出し子」を使うみたいな振り込め詐欺組織のような対策がされるだけでしょう。
広告収入に釣られた詐欺まがいの行為に手を貸すソフトが毎日登録されていくGoogle Playを使う側が、対策ソフトを入れるなどして注意深く使うしかないでしょうね。
Re: (スコア:0)
ソフトウェアって、なにかあってもバグでした、で済ませられるので便利ですね。
もっとひどい場合だと、仕様です、で済ませられるのでもっと便利ですね。
「なにかあっても」の部分を「なにかやったのがばれても」に置き換えてもよいですね。
わざとやったのかどうかは、どうせ証拠なんて残らないし。
Re:バグねぇ… (スコア:3)
一般的な場合はそうかもしれませんが、本件に関してはそれではアウトかと…^^;
ほえほえ
Re: (スコア:0)
法律的にはOKでも世論的にOKかどうか分からないとき、とりあえずやってしまってから、
反応を見て「バグでした」と言うか「仕様です」と言うかを決められる。
Re: (スコア:0)
いやいや、裁判になったり、損害賠償支払うことになったりしているケースも多々ありますよ。
ニュースにならないだけでね。
# 実際の被害者に還元してないってのは電車の人身事故とかと同じ。
もう構造を変えて (スコア:3)
パーミッションを与える、という、結局何が起こるのかよくわからない仕組みだけでは駄目ってことかな。
OS側のサンドボックスの仕様を変えて、このアプリには本物を見せる、さもなければアプリから見えるのはダミー、みたいなサンドボックス強化のほうが役に立ちそうな気がします。
Re:もう構造を変えて (スコア:1)
なんで権限毎に許可するしないを選択できるようにしないんでしょうね。
iOSのロケーションサービスのように、アプリ毎に最初に許可するかどうかを確認して後からでも設定画面から変更できるようにしてる方がよっぽどまともな実装に思えます。
Re:もう構造を変えて (スコア:2)
そんなことをしたら、情報を掠め取れないからでは。
ネットワーク権限と広告に関する通信の権限を分けろってのも散々言われたが無視しっぱなしのgoogle。
電話のステータスとIDも、大抵はは話中か否かを確認するためにステータスが必要なだけでIDは不要なのに一緒くたにされてる。
そもそも悪意ありで設計してるとしか思えない部分があります。
犯罪の幇助にも当たるのではないか (スコア:1)
と毎回この手のニュースを見る度に思う。
結果的に利用者は勝手に知り合いの個人情報をアプリ側に渡しているわけだし。
世界中の人々を犯罪者にしているのではないだろうか。
利用者が知り合い等から訴えられることになったりしないのだろうか。
Re:犯罪の幇助にも当たるのではないか (スコア:2)
> 結果的に利用者は勝手に知り合いの個人情報をアプリ側に渡しているわけだし。
> 利用者が知り合い等から訴えられることになったりしないのだろうか。
つまり、利用者に責任があると。確かに情報を漏らされた個人は、利用者に弁済を求めることは出来るでしょう。必要なら民事訴訟で。
> 世界中の人々を犯罪者にしているのではないだろうか。
つまり、facebookに責任を問えるか否かという話なら、利用者がfacebookアプリのインストール時に権限を認めているので、責任は問えないだろう。ただ、プリインストールアプリの場合、それらの権限を求められることがなく、facebookアプリはユーザに許可なく個人情報を送信していることになるかもしれない。
Re: (スコア:0)
未だにわかってないアホがいるとはびっくりだけど、アプリインストール時の権限は、アプリがそれらを使用する許可であって、それが電話帳データをサーバーに送信する許可にはならねーよ。たとえ通信の許可も求められていたとしてもな。
あなたの電話番号ですか? (スコア:1)
Android端末でFacebookを使っていて、かなり気をつけて電話番号や、アドレス帳の中身をを送らないよう使用していたのですが、
ある日アプリを起動すると画面上部に
「XXX-XXXX-XXXX は あなたの電話番号ですか? 電話番号を登録することによって...」
(後半忘れましたけど何かメリットあるよ的なメッセージ)
が表示されてびっくりしました。
メッセージの感じから他人の電話帳から推測されたのかと思ってましたが(それでもかなり嫌な事ですけど)、まさか勝手に送信していようとは・・・。
Re: (スコア:0)
Androidのしくみ
∧_∧
( ・ω・) (無料便利アプリ)
_(__つ/ ̄ ̄ ̄/ ┗(^o^ )┛
\/ / ┗(^o^ )┛ ┏┗ ┗(^o^ )┛
 ̄ ̄ ̄\ ┏┗ (????) ┏┗
\┗(^o^ )┛┗┛┗(^o^ )┛
\┏┗ ┏┗ ┏┗
↓1秒後  ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
∧_∧
( ・ω・) (暗証番号)(カード番号)(IDパスワード)
_(__つ/ ̄ ̄ ̄/
Re: (スコア:0)
AAがノートPCなのはいいんですかね。
Re: (スコア:0)
キーボードスタンドかもしれんよ
なんか問題あるか? (スコア:0)
個人情報を気にする人はfacebookなんか使わないだろう。
facebookを使いつつも個人情報をある程度守りたい
とか思ってる人がいたら、幼稚園からやり直したほうがいいよ。
Re:なんか問題あるか? (スコア:5, すばらしい洞察)
自分の意思でFacebookのアプリをインストールしたらないいけど、たいていプリインストールされてて間違って起動してしまうリスクは常にあると思う。
# 自分のスマホのアプリ一覧で見ると Evernoteの隣にFacebookがあって怖い
# まぁFB無効にしてるんだけど
Re: (スコア:0)
gaagleマップ起動するだけで電話番号が送信されていました。
規約の承諾を読む前だけど、でもまぁ、問題ありませんね。
セキュリティー意識が高い人はマホなんて使わないでしょ。
Re: (スコア:0)
ちょっと落ち着いて書こう。
Re: (スコア:0)
夢乃マホ「せやな」
# どなたか知らないけどググったら一番上にあったので・・・
Re: (スコア:0)
まぁそうじゃない?
電話機でGoogleのサービス使うなら、電話番号盗られるくらいは
考慮に入れとくべきだと思いますよ。
わたしは電話番号をむやみに人に知られたくないので、
Androidで電話使ってませんが、番号くらい知られたって
影響はたかが知れてますからそれでかまわない人は
スマートフォン使えばいいし、それこそfacebookつかったってかまわんでしょう。
Re: (スコア:0)
君の日本語ははっきり言って変だ
それとも我々を小馬鹿にしているのか
どちらなんだ
Re: (スコア:0)
個人情報を気にする人はGoogleなんか使わないだろう。
Googleを使いつつも個人情報をある程度守りたい
とか思ってる人がいたら、幼稚園からやり直したほうがいいよ。
Re: (スコア:0)
個人情報が入ってるPCをインターネットにつないでgoogleつかうなんて、
個人情報を気にする人とはいえないと思う。
Re: (スコア:0)
Facebook の利用が日常的どころかマストに要求される昨今、
ネット市民の大多数は個人情報を気にせずにいて、
一部の人間だけが個人情報を気にしているわけですね。
あれ?事実じゃん。
#Facebookの利用はマストで、あとは友達数とか発言の頻度で人間を判断するのを止めて欲しい
バグが原因?嘘くさっ (スコア:0)
WinGrooooooove !!
なんとなく叫んでみたくなった。