パスワードを忘れた? アカウント作成
13851301 story
プライバシ

テクノロジー企業にユーザーのセキュリティとプライバシーを強化するよう求めるEFFのキャンペーン 39

ストーリー by headless
要求 部門より
EFFは2月28日、テクノロジー企業にユーザーのセキュリティとプライバシーを強化するよう要求するキャンペーン「Fix It Already」を開始した(Deeplinks Blogの記事Mac Rumorsの記事Softpediaの記事)。

キャンペーンの対象は9社。AppleにはiCloudバックアップの暗号化、Android (Google)にはAndroidでアプリの「INTERNET」パーミッションをユーザーが無効化できるようにすること、Microsoft (Windows 10)には「デバイスの暗号化」で暗号鍵をMicrosoftのサーバーに送信しないことを求めている。

このほかの6社に対する要求は以下の通り。
  • Facbook: セキュリティ目的でユーザーが提供した連絡先情報を他の目的に使用しない
  • Slack: 無料ワークスペースの管理者にもメッセージ保持期限の設定を可能にする
  • Twitter: ダイレクトメッセージをエンドツーエンドで暗号化する
  • Venmo: 友達リストを非公開化できるようにする
  • Verizon: 端末へのスパイウェアインストールをやめる
  • WhatsApp: グループへ追加する前にユーザーの了承を受ける
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2019年03月03日 13時44分 (#3574058)

    ・Androidでアプリの「INTERNET」パーミッションをユーザーが無効化できるようにすること
    ・「デバイスの暗号化」で暗号鍵をMicrosoftのサーバーに送信しないことを求めている。

    こんなんできて当たり前なのに、できないなんて、ユーザーのことなんてどうでもいいんだろうな、と思う。
    従業員も何か思うことないんだろうか。

    ところでAndroidのGoogleアカウントで、「ユーザーの詳細を同期」ってあるんだけど、何を同期しているいのかの説明がない。
    ググってもすぐには見つからない。
    何を同期しているんだろうなあ。
    知ってる人いる?

    • by Anonymous Coward on 2019年03月03日 17時25分 (#3574108)

      INTERNETは昔はアプリインストールするときに要求する権限として表示だけはされた。
      ユーザーが権限を後から変更できるようにOSに機能追加したタイミングでINTERNETはセンシティブじゃないということで見えなくなった。
      まあ、そういうことだよ。邪悪な企業にまともな対応を期待するだけ無駄。

      親コメント
      • by Anonymous Coward

        プライバシーやパーティション管理では先をいってる(いってた)Apple iOSでもネットワーク権限は触れないからなぁ。
        セルラー禁止はあるけどWiFI禁止できない。これはただモバイルデータ通信量を抑えるためのものでセキュリティ目的じゃないし。
        OSベンダー側は、ネットワークにつながるのは当たり前、という認識なんだろうか。

    • by Anonymous Coward

      • Androidでアプリの「INTERNET」パーミッションをユーザーが無効化できるようにすること。
      • 「デバイスの暗号化」で暗号鍵をMicrosoftのサーバーに送信しないことを求めている。

      ほんとこれ。
      Googleは、とっととCyanogenMod/LinageOSでいうところのプライバシーガードを実装するべきだし。
      Microsoftに至っては、ユーザがオフにできるとかできないとか以前に、そもそも公開鍵暗号というものを理解できていないようなので設計からやり直せ。暗号鍵の方を勝手に送信する公開鍵暗号とか意味不明にもほどがある。

      • by Anonymous Coward

        公開鍵関係なくねえ?

        • by Anonymous Coward

          仮に公開鍵暗号方式の話だとしても暗合化する方の鍵(公開鍵)はその名の通り公開するための鍵なんだから送信されても何ら問題なく二重にアホだな
          複合化する方の鍵(秘密鍵)は絶対に送信なんぞしちゃダメだけど

    • by Anonymous Coward

      ユーザーの詳細を同期
      Google+やGooglePlayの情報を同期させているのでは

      https://android.stackexchange.com/questions/60894/in-a-google-account-... [stackexchange.com]

      https://sim2.goo.ne.jp/article/post_141535 [goo.ne.jp]

      • by Anonymous Coward

        挙げられたリンクがどちらもGoogle公式でないところが、Googleのいやらしさを象徴している。
        どこかにあるのかもしれないが、Google公式の回答が簡単に見つからないところが。

        • by Anonymous Coward

          公式だとこちらになるのかしら
          ユーザー情報の詳細
          https://support.google.com/accounts/answer/6304920?co=GENIE.Platform%3... [google.com]

          Google サービスを利用する他のユーザーへの表示または非表示を指定できる情報は次のとおりです。

                  生年月日
                  性別
                  勤務先などの就業情報
                  個人および勤務先の連絡先情報
                  行ったことがある場所
                  学歴

          連絡相手や共有相手に表示される可能性のある情報は次のとおりです

          • by Anonymous Coward

            ありがとう!

            ただ、多分、「ユーザーの詳細を同期」で同期される情報とは違うんじゃないかなあ。

            • by Anonymous Coward

              ユーザーに関わる情報「全部」って理解して対応すりゃいいんじゃね。
              入力されているものは全部。
              googleに特定の情報は同期しないなんて期待するほうがおかしいのでは。

  • by Anonymous Coward on 2019年03月03日 14時28分 (#3574068)

    めんどくさい

  • by Anonymous Coward on 2019年03月03日 15時23分 (#3574077)

    中国から撤退しろってことですかね?

    • by Anonymous Coward

      いまでもiCloud キーチェーンは暗号化されているけど、iOSが中国では使えないってことないだろ?

    • by Anonymous Coward

      当局が復号できれば問題ないですよ

  • by Anonymous Coward on 2019年03月03日 15時40分 (#3574081)

    ググって調べたところ、最近のWindowsは、条件を満たすハードウェアで、
    かつMicrosoftアカウントでログインしている場合、初回セットアップ時にBitLockerでシステムドライブを暗号化して、
    「回復キー」(EFFのいう「暗号鍵」)をMicrosoftアカウントに保存するらしい。
    なお、ユーザーは後でデバイス暗号化を解除できる。
    また、Professional以上のEditionは、ユーザーが自分でBitLockerを構成できるので本件には該当しない。

    …もともとMicrosoftアカウントでログインしている以上、Microsoftは当該デバイスへの認証情報を持っているわけで、
    これはそんなに害はないのでは?
    システムドライブなら、ほぼWindowsとイコールと考えてもよさそうに思える。

    実際問題として、PCではハードウェア構成が変わったなどの場合で回復キーの再入力が求められる場合があるので、
    どこかに保存しておかないとデバイスにアクセスできなくなってしまう。
    一般ユーザーの利便性を考えると、Microsoftアカウントに保存するのはまあまあ妥当な対応に思える。

    EFFが何を問題にしているのかよくわからない。

    • Microsoftアカウントは、登録メールアドレスや電話番号へのメール・SMS・架電で、パスワードリセットが可能です。

      そのため、スマホを一時的に支配下におけば、Microsoftアカウントのパスワードリセットを行って、回復キーを奪い取ることができます。
      あとは、その回復キーを使って、BitLockerで暗号化されたデータを復号できます。
      起動時に PIN やパスフレーズを必須にしていても、回復キーだけあれば復号できます。

      捜査機関はPCとスマホを押収するだけで、PINもパスワードも不明でもデータを復号できます。
      (Microsoftが捜査協力して回復キーを提供すればスマホも不要だし、捜査協力がなくてもスマホでパスワードリセット可)

      • by Anonymous Coward

        全く期待できないというか、そんなことは期待してないのでは?

        • by Anonymous Coward

          じゃあなんでわざわざ勝手に「回復キー」まで作って暗号化してんの?

      • by Anonymous Coward

        > そのため、スマホを一時的に支配下におけば、

        君はスマホを一時的に支配下におかれてばかりのおマヌケさん?

        なんとうか、バカって100%を求めるよね

    • by Anonymous Coward

      Microsoftがハッキングされて暗号鍵が流出したらどうするんだろう。

      >一般ユーザーの利便性を考えると、Microsoftアカウントに保存するのはまあまあ妥当な対応に思える。
      そういう選択肢があるのはいいと思うよ。
      でも、強制する理由がわからない。

      あとハードウェア構成が変わって、パスフレーズではなく回復キーが必要になるのは、設計が悪いと思う。
      そもそも回復キーが必須なのもおかしい。

    • by Anonymous Coward

      顧客「弊社情報はきっちり保護されているのかね」
      あなた「データは起動時から完全に暗号化されています」
      顧客「…なら、緊急時はどうするのかね」
      あなた「Microsoft社は暗号化を解除できますので、安心です」
      顧客「…。」

    • by Anonymous Coward

      嫌なら、自分でドメインサーバー立ち上げて自分のドメインサーバーで管理しろよ。

      • by Anonymous Coward

        普通は、MSA連動とか使わない。

  • by Anonymous Coward on 2019年03月03日 19時08分 (#3574143)

    基本機能のプロトコル公開

    • by Anonymous Coward

      日本にはEFFのような団体は出来なかったからなあ。

      • by Anonymous Coward

        ほんとこれ
        ラインのようなプライヴァスィーを侵害するアプリケーションが無批判で使われ続けている日本は異常

        • by Anonymous Coward

          ホントコレ!ホントコレ!

      • by Anonymous Coward

        MIAUがそうなるかと思ったけど、ロビー介入や政治活動の意味を取り違えて、ただの左派というか反自民に成りはてたからなぁ

  • by Anonymous Coward on 2019年03月04日 0時15分 (#3574190)

    facbookはちとまずいんでは

    • by Anonymous Coward

      ちょっと前、あるサイトで出会った外人との会話。
      外人 『Japanese! Japanese!』
      俺 『うっせえよ毛唐、英語が世界の共通語とかナチュラルに思ってんじゃねえよ』
      外人 『hmm…』
      俺 『Fac book』
      外人 『oh』
      外人 『miss spell』
      外人 『Fuck book』
      俺 『Fuck book』
      外人 『good!』
      その後、一緒にオフ会に出かけ、友人になった。

      • by Anonymous Coward

        使い古されたネタだと書いておかないと勘違いする奴が出てくるぞ。

  • by Anonymous Coward on 2019年03月04日 12時09分 (#3574293)

    Twitter: ダイレクトメッセージをエンドツーエンドで暗号化する

    Webサイト版のTwitterもあるけど、こんなこと可能か?

    • by Anonymous Coward

      一応ブラウザでエンドツーエンド通信する方法はあるけど、
      ツイッター自体、チャットというよりは短文メールみたいな立ち位置だから、
      エンドツーエンドは無理じゃないかなぁ。

  • これに触れてる人少ないけど一番ヤベーんじゃねーの?

    • by Anonymous Coward

      暗号化必要なら自分でしろよって話でしょ。
      他人が暗号化したところで、復号化できるんだから一緒やろ

    • by Anonymous Coward

      暗号化はしてるけど、Appleの鍵でしてるから、あっち側で復号可能。
      昔セレブのアカウントが乗っ取られた時などに、ユーザーがローカルで設定した鍵で暗号化する方式、が噂され(期待され)たけど、それからまったく音沙汰なしだから、たぶん今もApple鍵での運用のままだと思われる。

      Appleのデータの取り扱いはこちら参照
      https://support.apple.com/ja-jp/HT202303 [apple.com]

      安全と言えるのは、ここの「エンドツーエンドで暗号化されたデータ」くらい。他は見られる可能性あり。

typodupeerror

犯人はmoriwaka -- Anonymous Coward

読み込み中...