ブラウザアプリ「Smooz」個人情報を数多く送信しているとして話題になっているようだ。Smoozは検索するだけでポイントがもらえるサービスなどを提供しており、人気を博しているのだという。一方でこのことを指摘しているreliphone (for iPhone) の記事によれば、その利用情報がすべて開発元のアスツール社に送信されているそうだ。

reliphone (for iPhone) の複数回にわたって行われた検証記事では、Smoozがどのような挙動を見せているのかなどの点を指摘している。記事冒頭の何が行われているかをまとめてある部分を引用すると次のようになる（reliphoneその1、その2、その3）。

• デフォルトの設定では、設定・操作・閲覧情報がユーザーID、デバイスIDと共にアスツール社のサーバーへ送信されている
• 検索窓に入力した文字は、検索ボタンを押さなくても、その内容が逐一アスツール社のサーバーへ送信されている
• 検索内容がアダルト関連ワードかどうかがアスツール社のサーバーに送信され判定されている
• サービス利用データの提供設定をオフにしても、閲覧情報がアスツール社のサーバーに送信されている
• プライベートモードにしても、閲覧情報がアスツール社のサーバーに送信されている
• https通信であろうとも閲覧したURLは完全な形でアスツール社のサーバーに送信されている

ただしユーザーはこのアプリを利用する時点で、同社の規定しているプライバシーポリシーには同意しており、個人情報の流出はユーザー自身が認めたものとなっている。また公式Twitterの説明でも、収益を得る方法として、

①アプリ内のフィード等に表示される広告 ②プレミアムサービスの月額課金

としており、個人情報を利用して広告を表示することで収益を得ていること自体は明記されている。ただしSmoozによって送られた情報は非常に多く、送られたその情報がどのように扱われているかは不透明な部分が多い。こうした指摘を受けて、開発元のアスツール社は声明を発表した。

ただし、20日夜の段階では

ご指摘により新たな問題が見つかったので、App StoreおよびGoogle PlayでのSmoozの配信を停止いたしました。

とTwitterで発表している。

カザフスタン政府が再び独自のルート証明書を発行して中間者攻撃を行っていたことが判明し、MozillaやApple、Google、Microsoftのブラウザーが証明書のブロックを開始したそうだ(Mozillaブログ Open Policy & Advocacyの記事、 Ars Technicaの記事、 ZDNetの記事、 Mac Rumorsの記事)。

カザフスタンでは2019年にも政府発行のルート証明書による中間者攻撃が判明して各社のブラウザーでブロックされている。今回、カザフスタン政府はサイバー攻撃増加を理由に首都ヌルスルタンで12月6日から訓練を行うと発表し、特定の国外Webサイトへのアクセスに問題が発生した場合はセキュリティ証明書をインストールすれば解決すると説明していた。

しかし、この証明書を用いてカザフスタン政府がFacebookやGoogle、Instagram、Mail.ru、Twitter、VK、YouTubeなどのドメインへのトラフィックを傍受していることが明らかになり、各社ブラウザーで証明書がブロックされる結果となった。証明書のブロックにより、カザフスタンから対象ドメインにアクセスしようとするとエラーメッセージが表示されることになる。Mozillaでは影響を受けるユーザーに対し、VPNの使用やTor Browserの使用を推奨している。