reynotch

reynotch

-
上記の広告は1ヶ月以上更新のないブログに表示されています。
新しい記事を書く事で広告が消せます。
Posted by

reynotch

reynotch

 昨日のエントリで、iPhone内の連絡先データを盗むアプリについて書きました。
 
「連絡先のデータを盗むアプリはPathだけではない」というお話 : I believe in technology

 
 上記の中で指摘されていたアプリのち、Path、Facebook、Twitter、Foursquare、Instagramを試してみたところ、Foursquareがユーザに無断で電話番号とメールアドレスを自社のサーバに送っていることを確認しました。
 
 試したのはVer4.2です。
 
 以下のタイミングで送っていることがわかりました。
 
 まず、右下のプロファイルタブをタップし、次に、右上の人アイコンをタップします。

foursquare-stolen-address01.jpg

 
 すると、以下の画面が表示され、この瞬間に勝手に連絡先(アドレス帳)のデータがFoursquareのサーバに送られます。

foursquare-stolen-address02.jpg


 この画面が表示されたら送信完了。 

foursquare-stolen-address03-1.jpg

 
 送られるデータはこちらです。(途中で送信をブロックしているので実際には送られていません)

foursquare-stolen-address04.jpg


 電話番号とメールアドレスはすべて連絡先内のものでした。なお、実際にはSSLで暗号化された状態で送信されています。上記は、ある方法で実際に流れているデータが確認できるようにしています。

  
 Foursquareが連絡先の電話番号を送信していることは、私も愛用しているTapbotの関係者がFoursquareのアカウントに対してツイートしたことでわかっていました。 

Foursquare also seems to be sending out phone numbers for contacts as well. This is on launch, after creating a new account.Tue Feb 14 15:18:27 via Tweetbot for iOS

  
 
 このツイートを見ると、アカウント作成時に連絡先の電話番号を送付しているということでしたが、実際には上記手順でも送信しています。
 
 問題なのは利用者に断りもなく、いきなり送信してしまう点です。
 
 Tapbot関係者からの先のツイートに対し、Foursquareは以下のようなツイートを返しています。

@tapbot_paul Thanks for looking into this. When you find friends, we send over HTTPS, don't store & our next update (today?) adds a warning.Tue Feb 14 17:48:41 via CoTweet

 

 このツイートによると、「友だちを探す時にHTTPSで送信する」「格納はしていない」「次回のアップデートで警告するよう追加する」とあります。
 
 「友だちを探す」というのが先の手順のようですが、あの手順で送信されてしまうとは誰も思いませんよね。HTTPSで送信されていることは確認しました。そのため、通常は第三者に盗み取られることはないのでしょう。「格納はしていない」というのは信用するしかありませんね。タップしたら毎回送信していましたから、確かにそうなのかもしれません。

 それから、Today(2/15)にあるアップデートとは、時差の関係から日本時間では2/14だったようです。でも、この説明では単に新しい機能が追加されたようにしか見えませんね。

foursquare-stolen-address05.jpg

  
 そこで、実際にバージョン4.2.1にアップデートして試してみました。

 同じ手順で以下の画面を表示しても、「アドレス帳(連絡先)」のデータはいきなり送信されなくなりました。

foursquare-stolen-address06.jpg

 
 また、「アドレス帳」をタップすると、いったん警告画面が表示されるようになりました。

foursquare-stolen-address07.jpg


 とりあえず一安心というところでしょうか。使っていらっしゃる方は、すぐにVer4.2.1にアップデートしましょう。 
 

 iOSアプリの規約ではアプリはユーザーの事前の許諾なしにユーザーに関するデータを送信することを禁じています。しかし、仕様上、アプリが警告もなしに連絡先のデータを送信できてしまうと今回のような問題が起こります。
 
 さすがにApple社もこの点を憂慮して、次回のiOSアップデートで連絡先データにアクセスを求めるアプリはすべて、はっきりと分かる形でユーザーの許可を得なければならなくなるとしています。

 次回のiOSアップデートは、必ず行ったほうがよさそうです。



Posted by
上記広告は1ヶ月以上更新のないブログに表示されています。新しい記事を書くことで広告を消せます。