ポイ活ブラウザアプリSmoozは閲覧情報をすべて外部送信している 117
ストーリー by nagazou
自己責任ではあるものの 部門より
自己責任ではあるものの 部門より
ブラウザアプリ「Smooz」個人情報を数多く送信しているとして話題になっているようだ。Smoozは検索するだけでポイントがもらえるサービスなどを提供しており、人気を博しているのだという。一方でこのことを指摘しているreliphone (for iPhone) の記事によれば、その利用情報がすべて開発元のアスツール社に送信されているそうだ。
reliphone (for iPhone) の複数回にわたって行われた検証記事では、Smoozがどのような挙動を見せているのかなどの点を指摘している。記事冒頭の何が行われているかをまとめてある部分を引用すると次のようになる(reliphoneその1、その2、その3)。
- デフォルトの設定では、設定・操作・閲覧情報がユーザーID、デバイスIDと共にアスツール社のサーバーへ送信されている
- 検索窓に入力した文字は、検索ボタンを押さなくても、その内容が逐一アスツール社のサーバーへ送信されている
- 検索内容がアダルト関連ワードかどうかがアスツール社のサーバーに送信され判定されている
- サービス利用データの提供設定をオフにしても、閲覧情報がアスツール社のサーバーに送信されている
- プライベートモードにしても、閲覧情報がアスツール社のサーバーに送信されている
- https通信であろうとも閲覧したURLは完全な形でアスツール社のサーバーに送信されている
ただしユーザーはこのアプリを利用する時点で、同社の規定しているプライバシーポリシーには同意しており、個人情報の流出はユーザー自身が認めたものとなっている。また公式Twitterの説明でも、収益を得る方法として、
①アプリ内のフィード等に表示される広告 ②プレミアムサービスの月額課金
としており、個人情報を利用して広告を表示することで収益を得ていること自体は明記されている。ただしSmoozによって送られた情報は非常に多く、送られたその情報がどのように扱われているかは不透明な部分が多い。こうした指摘を受けて、開発元のアスツール社は声明を発表した。
ただし、20日夜の段階では
とTwitterで発表している。
ただほど怖いものは... (スコア:5, すばらしい洞察)
いつも言われることだけれど、
・そのサービスはどうやって利益を得ているのか?
ぐらいは、使う前に考える習慣をつけておいたほうがいいような気がします。
検索するだけでポイントがもらえる時点で、あやしいと思わないと。
アプリは、事実上、何でもできてしまうので注意が必要です。
標準的なブラウザでも、あやしいものがあって困っているのに....
Re:ただほど怖いものは... (スコア:5, 参考になる)
いつも言われることだけれど、
・そのサービスはどうやって利益を得ているのか?
ぐらいは、使う前に考える習慣をつけておいたほうがいいような気がします。
「無料の昼食なんてものはない。無料に見えるとしたら君が食材なのだ」
Re:ただほど怖いものは... (スコア:4, おもしろおかしい)
ハインラインと宮沢賢治の熱いコラボ
Re: (スコア:0)
そもそもポイントに群がる人たちはプライバシーなんて考えてポイ活なんかしてないと思うが
数十円でも貰えるなら情報を差し出すよ
一方、企業側も集めた情報の活用が下手くそでうまく収益化出来てないしな
現実はもっとひどかった (スコア:3, 参考になる)
・おすすめ記事機能を有効にしていると、ブラウザが開いたhtmlのbody部分の冒頭をそのままSmoozに送り付ける
アクセス中のURLとかアクセス履歴ではなくて、コンテンツの本文をそのまま送信している。
会員ページどころか決済ページとかでも関係なく、ブラウザで開いた内容の冒頭556文字分をbase64で送信している。
・CEOを名乗るtwitterアカウントが「直接話をしましょう [twitter.com]」なんて言ってる
Re:現実はもっとひどかった (スコア:2, すばらしい洞察)
ご指摘のない点(ユーザーが通信内容から推測しただけでは見つからなかった点)は対応しないよ、って読めてしまう時点で、この代表の加藤さんは隠蔽する気なんだなって思えてしまう。
3段階の指摘のうち、最初のが出た時点で、指摘がなくても「実はコンテンツまで読んでました、すみませんでした」って謝罪できたはずだし。
Re:現実はもっとひどかった (スコア:1)
「Smoozユーザの疑念解消」には、WEBで公開のやりとりが最善。
疑念解消は当然ながら重要事項だろう。
なぜ疑念解消を埒外において「第三者から見えないやりとり」を望むのか、そこが気になる。
Re: (スコア:0)
SRADでIDじゃなくACで発言するようなもんじゃない?
IDで尖った発言するには勇気がいるし、ACでさえうまく伝わるかどうか分からないから発言を止めることもある。
Re: (スコア:0)
直接話をすることに関しては確かに懸念もあるけど迅速に事態を収束させる一手段でもあるので殊更非難するようなことではないと思う。
Re:現実はもっとひどかった (スコア:4, すばらしい洞察)
直接話をすることに関しては確かに懸念もあるけど迅速に事態を収束させる一手段でもあるので殊更非難するようなことではないと思う。
「迅速に収束させる」ってのはアスツール社の代表にとってのメリットでしかないよね
ユーザーにとっては公開の場で問題点を指摘されそれにたいしてアスツール社が公式に答えるってほうがいいよね
ユーザーには「迅速に事態を収束」なんて必要じゃないからさ
Re: (スコア:0)
個人に直接話をするのって問題を個人間でかたそうとしているように感じる。
公式サイトとかで対策を発表していくべきでしょ。
# DMじゃないだけまだマシだが。
Re: (スコア:0)
まあ、セキュリティ関連だし一旦非公開で話した後に公開すればいいのでは。
クローズドで話しても元のブログが全て公開しそうだし結果は同じかもしれないけどね。
Re: (スコア:0)
「リアルで会おう」は危険だけど、Zoom等ならまだマシだわな。
Re: (スコア:0)
「直接話しをしよう」って、当然コンサル料ぐらい支払うんですよね?
「すまほん」の最後の文で言いたいこと言われてる (スコア:2, 興味深い)
https://smhn.info/202012-astool-has-stopped-delivering-smooz-due-to-th... [smhn.info]
「安全神話」のあったAppleのApp Storeにも、このような昔の中華ソフトレベルのブラウザアプリが未だに存在し、
しかもそれは昔なら高品質の代名詞として機能した「国産」なのだ、
という令和のパラダイムシフトには改めて感慨深さすら感じるところです。
Re: (スコア:0)
久しぶりに笑いました。「感慨深さ」って何?自作のポエムか何かですか?
こんな読み辛い文章を掲載しているメディアが生き残れるのも「令和のパラダイムシフト」ですね。
Re: (スコア:0)
ソフトウェアが高品質と評価されてい「国産」って何かあった?
高品質と評価されていたのってハードウェアって認識なんだけど。
Re: (スコア:0)
とろん
Re: (スコア:0)
Σプロジェクト
Re: (スコア:0)
いやぁガッツあっていいと思うヨ
怒られるまでやってみるっていう新興企業がが出てきたことは
Youtubeとかかなりくそだったしな
大企業がお上品にやったって駄目なことはよくわかったやろ
Re: (スコア:0)
あなたが知らないだけでスタートアップの炎上なんて毎日起きてるけど
結局情報が届いてないからそういう会社は日本に存在しないと思ってるだけだろうに
Re: (スコア:0)
日本に存在しないなんてどこに書いたっけわし
「出てきた」ってのは90年代とかに比べての話よ
検索エンジンとかもNTTとか既存の会社が出張ってやってたじゃん
プロバイダは弱小が林立してたのになぁ
Re: (スコア:0)
ここまで誰も安心のAppStoreに関するコメントなし。
Re:「すまほん」の最後の文で言いたいこと言われてる (スコア:2)
-- やさいはけんこうにいちば〜ん!
Re: (スコア:0)
それ、あなたのお気持ちですよね?
Re: (スコア:0)
日本産にも中国産にも悪い製品と良い製品があるのは永久に変わらないけど、昔となんか変わったのだろうか
初めから機能してないし、幻想の世界を生きていたのでは
こういう感情的な文章を書かないとアフィ収入が入らないからしょうがないんだろうけどね
Apple の審査は役立たず、デフォルトブラウザまでも通過 (スコア:2, 興味深い)
この Smooz というブラウザは、普通の App Store の審査だけでなく、個人情報の不正送信機能が実装されている状態 iOS のデフォルトブラウザの審査にも合格(2020年11月19日)していました。
https://www.jiji.com/jc/article?k=000000042.000021601&g=prt [jiji.com]
App Store は審査があるから安全だとか、Apple が Safari エンジンのブラウザしか審査で認めない(Google Chrome も Apple 版は Safariエンジン)のは安全のためで独占のためではないとか、信じている方も結構いるようですけど、とんでもないざる審査であることが明らかになりました。
私もこの問題が記事になってから当該アプリを軽く分析していましたが、不正送信を秘匿するような高度な実装はなされておらず、20~30分程度あれば話題になっているような個人情報の不正送信がなされていることを簡単に調べられる状況でした。
つまりは、Appleの審査はまともに審査すれば1時間もかからず確実に発見できる個人情報の不正送信すら見逃す審査であって、普通のApp Storeだけでなく「デフォルトブラウザ設定」の審査ですらその程度だということです。
App Store の審査は全くの役立たずであって、Androidのような別ストアやapkの直接ダウンロードを認めないことの正当性は失われたと言っても過言ではありません。
Re:Apple の審査は役立たず、デフォルトブラウザまでも通過 (スコア:1)
連打するだけでパスワード突破できたり、ヒントでパスワードそのものを見せたりするOS作る会社ですから
Re:Apple の審査は役立たず、デフォルトブラウザまでも通過 (スコア:1)
> 「見た目」をメインに審査しており
あたりまえでしょう。
見た目こそがAppleの唯一にして最高の売りなんだから。
ビットコイン採掘スクリプト (スコア:1)
あれとこういうのって大体同じだと思うんだけどそんな違うのかな
ベンチャー界隈によるsmoozの評価 (スコア:1)
澤木星太氏(創業わずか2年目で約1億円の事業売却の連続起業家、both Q and Q 代表取締役)
国産ブラウザSmoozの一件、ブラウザが閲覧情報を送信するのなんてビジネスとして当たり前だし、嫌なら使うなよって話でしかないんだよな。無知なヤツって自分の主観でしか語れないし、そこに理屈や法的根拠も持ち出せないから対応が面倒。Smooz側も謝らずに「自分たちは正しい」とハッキリ主張すべき。 [twitter.com]
山田元康氏(スパイシーソフト代表)
サイトの訪問履歴を送信してただけみたい。ちゃんと調べもせず騒いだ人は謝ろうね。 [twitter.com]
インターネットを使ってれば、普通にGoogleアナリティクスやFacebookピクセルで訪問履歴は飛ぶし、Chromeを使えばブックマークやパスワードやクレカもクラウドで管理されます。燃やして叩いて快感をえるために着火しようとするのはやめましょう! [twitter.com]
Re:ベンチャー界隈によるsmoozの評価 (スコア:2, 興味深い)
澤木星太氏(創業わずか2年目で約1億円の事業売却の連続起業家、both Q and Q 代表取締役)
国産ブラウザSmoozの一件、ブラウザが閲覧情報を送信するのなんてビジネスとして当たり前だし、嫌なら使うなよって話でしかないんだよな。無知なヤツって自分の主観でしか語れないし、そこに理屈や法的根拠も持ち出せないから対応が面倒。Smooz側も謝らずに「自分たちは正しい」とハッキリ主張すべき。 [twitter.com]
この後、Smoozが閲覧内容をユーザに無断で送信していることがわかった後の時間のツイート。
スタートアップは最初からリーガル部分にリソースを割けないのでコアバリュー外の部分は戦略的にリーガル対応をなおざりにするしかない。そのために罰則前の勧告があるワケで。Smoozのように素人が騒ぎ始めたらある種PMFが近いとも言えるので、その時点で対応すれば充分。綺麗事じゃ世界は変わらない。 [twitter.com]
スタートアップは法律違反をするのは当然、法律順守は素人が騒ぎ出した後で、ばれなきゃ法律違反のまま、がスタートアップ企業の総意ってことでしょうね。
Re:ベンチャー界隈によるsmoozの評価 (スコア:1)
なんでこう日本のベンチャーって、証券会社の飛び込み営業とかで業績上げそうなタイプばっかりなんだろう...
Re:ベンチャー界隈によるsmoozの評価 (スコア:1)
ポイ活ってなに? (スコア:0)
ゴミをポイ捨てすること?
Re:ポイ活ってなに? (スコア:2, 参考になる)
ポイント乞食活動
Re: (スコア:0)
ボイ活のTypoじゃね?ボイスなんたら活動のことなんだお。
忘年会の二次会でカラオケで歌いまくって、クラスタ作ったりするんだよ。
収入は最大5円/日 (スコア:0)
25回検索すると達成する
検索するだけでいいならメインで使う人いないだろ
Re: (スコア:0)
楽天ウェブ検索で30回で4円相当貰える方が使い道あるね
Re: (スコア:0)
個人情報の使い道?
アドテクは邪悪なギジツ (スコア:0)
オメガキーボードの一件を思い出した。あれを組み込んだmoppyキーボードもキーワードを送信することでポイント(リワード)が貰えるというものだったね。一応の同意は得ていたけど、一般に想定される内容よりも広範な情報を収集していたという点も同じ。
入力されたキーワードを無断で収集・送信する機能を持つソフトウェアキーボードSDKの存在が確認される | スラド セキュリティ [security.srad.jp]
自浄作用の期待できないアドテク界隈、やはり滅ぼすべきでは?
Re: (スコア:0)
広告以外にネットからカネ引っ張るのが難しいからしゃあない
国策で、ネット専用のポイントとか配ってくれないかな
ベーシックインカムになるほどの大金じゃなくていいからさ
容赦ない (スコア:0)
無料版->他人のサイトに勝手に広告を追加
有料版->他人のサイトから広告を削除
ワロタ。つかたとえページ末尾であってもHTMLを改変して広告を付け足すのって著作権的にアウトなんじゃね?
Re: (スコア:0)
それを言い出せば、アドブロック類やテキスト(無音)ブラウザは全部NG。
Re: (スコア:0)
「自分の」手元にある著作物を「自分が」自由に改造してもおkという基本原則がある。そのツールとしてアドブロックを提供するのは日本ではグレーかも。
このブラウザは第三者(アスツール社)が間に入りその第三者の意思で改造してるから、濃いグレーに思われる。(ユーザーの許可を得ていてもだめなのは、この手の各判例)
Re: (スコア:0)
あっ、改造していいのは著作物のコピーね。原本の改造は同一性保持権があるため不可。
Re: (スコア:0)
> テキスト(無音)ブラウザは全部NG。
Lynxブラウザの悪口はやめてください。
Re: (スコア:0)
同一性保持権の侵害ですね。
Re: (スコア:0)
広告を消すのがOKなら加えるのもOKじゃね?
どちらもクライアント側での処理だし。そのユーザーが同意してるなら。
Re: (スコア:0)
無料版->他人のサイトに勝手に広告を追加
有料版->他人のサイトから広告を削除
ワロタ。つかたとえページ末尾であってもHTMLを改変して広告を付け足すのって著作権的にアウトなんじゃね?
昔はそんな感じのホームページ作成サービスだらけだったけど、あれはアップロード者が同意してるから問題ない、って立て付けだったのかな。