FLAGS

MENU

NOTICE

2018年7月5日木曜日

著名な Firefox/Chrome 拡張プラグイン『スタイリッシュ』が、アドウェア系企業に買収され悪質なデータ盗聴を行っていることが発覚 (oka01-ifmpsylczjaqvylg)

人気のある無料プラグインを数千ドルで買収し、そのユーザー情報を盗むという ─── そんな手口の魔の手が、著名なFirefox/Chrome プラグイン「スタイリッシュ」にも及んだ。プラグイン開発者は、裕福ではないので、買収は簡単だ。得られた情報は高額で取引されるので、簡単にペイする。

この事件は、フリーウェア文化の終焉に繋がる危険がある重大な事件だ。


ソース

要約

Firefox/Chrome 用プラグイン『スタイリッシュ』が、公式ストアサイトから削除された。利用者の知らぬ間にブラウザ履歴を第三者サイトに送信していることが発覚したためだ。

『スタイリッシュ』は、サイトの表示方法を利用者の都合に合わせて設定することができるツールとして注目を浴びたブラウザ拡張プラグインだ。しかし2017年にプログラムの所有者が市場調査系企業の SimilarWeb 変わった。新しいオーナーは処理内容を変更し、スパイ行為を働くように組み込んだ。

ソフトウェア技術者ロバート・ヒートン氏が、どの様な情報がSimilarWeb社に送信されているのか解析したところ、一目では内容がわからないように偽装されたバイナリデータが送信されていることに気付いた。これは明らかに悪いニュースだった。

スタイリッシュのプライバシーポリシーによると、個人を特定できない匿名の情報を収集しているとのことだった。だがヒートン氏が解析したところによると、データは、個人をトラッキングする為のIDが付加された上でSimilarWeb社に送信されていた。

ヒートン氏は次のように述べた。「復号化されたデータをよく見てみたのですが、 送られているデータにはトークン(一意追跡ID)が付けられていたんです。 ─── そして更に1つのリクエストに1つセッションIDが付けられていました。つまりスタイリッシュとSimilarWe社は、今なお、現実世界のユーザーIDと結び付けられかたちで、ブラウザ履歴を持っている…ということを意味しています。

モジラのプラグイン管理担当は、スタイリッシュに対してブロック処置を行うことを決めた。アンドレアス・ワグナー氏の書き込みでは、ブロック処置を行った理由を明確にしなかった。「プラグイン評価の基準に沿わなくなったので、ブロックしました。」




ロバート・ヒートン氏がSimilarWebに送られているデータを解析した結果。ブラウザ履歴だけでなく、グーグル検索の結果まで送信していることが判明した。ロバート・ヒートン氏によると、このデータは偽装目的でBase64で2度エンコード処理された上で、送信されている。

解説

この事件のインパクトは、大きい。 確かに以前からスパイ行為を働く無料ソフトはたくさんあった。 例えば「フラッシュゲット」などがその代表格だった。だがこれらは、最初から「スパイウェア」として作られて配布されていたので、気をつけていれば防ぐことが出来た。

だがこの事件の発覚により、どんな無料ソフトも、買収されてスパイウェアとして改造されてしまう可能性があるということが明らかになった。これでは、フリーウェアを使っている以上、盗聴を防ぎようがない。

考えられる唯一の方法は、「オープンソース(プログラムの構造が一般公開されている)」のアプリだけを使うことだ。これなら利用者が自身の手によってアプリケーションの処理を追跡し、背徳行為を行っていないか監視することができる。

先日、オープンソースのアプリを開発する最大コミュニティーサイト github がマイクロソフトに買収されてしまった。今の所、利用者の自由を脅かすような目立った動きはない。 ─── だが僕は、日本のシステム屋が、この件に関して何の危機感を持っていないのが、怖ろしい。 日本のネットで githubの買収について意見を述べている人達の大半は、「マイクロソフトは最近、オープンソースに力を入れていたから、全く不自然さはないね」というものだったが、物を知らないということは、実に怖ろしい。

今までマイクロソフトが「仕様です」という有名なセリフによって、どれだけ曖昧な仕様を放置してきたか。どれだけの膨大なバグを放置してきたか。どれだけの弱小フレームワーク利用者を切り捨ててきたのか。ECMAScriptの仕様策定・CSS2の仕様策定・HTML4の仕様策定のときに、マイクロソフトがどれだけ足かせになっていたのか。 ─── これが背面教師となり、今の活発なオープンソース界が出来上がった。今なくてはならない必須ソフトウェアの数々は、ここから生まれてきたのだ。

このことは少しでも歴史を紐解けば直ぐにわかることだが、近年の『IT技術者』はあまりそのことをわかっていないようだ。その洗練されたファッショナブルなトークが光り輝く『IT技術者』達は、コードのコの字すらも書いたことがないと明らかだ。


参考:
スタイリッシュ・2017年1月のプライバシーポリシー変更


著者オカアツシについて


小学生の頃からプログラミングが趣味。都内でジャズギタリストからプログラマに転身。プログラマをやめて、ラオス国境周辺で語学武者修行。12年に渡る辺境での放浪生活から生還し、都内でジャズギタリストとしてリベンジ中 ─── そういう僕が気付いた『言語と音楽』の不思議な関係についてご紹介します。

特技は、即興演奏・作曲家・エッセイスト・言語研究者・コンピュータープログラマ・話せる言語・ラオ語・タイ語(東北イサーン方言)・中国語・英語/使えるシステム/PostgreSQL 15 / React.js / Node.js 等々




おかあつ日記メニューバーをリセット


©2022 オカアツシ ALL RIGHT RESERVED