ノーマルビュー

Received — 2020年12月21日 お気に入り

カザフスタン政府発行のルート証明書、中間者攻撃が判明して各社ブラウザーにブロックされる

✇スラド
著者: nagazou
2020年12月21日 17:05
headless 曰く、

カザフスタン政府が再び独自のルート証明書を発行して中間者攻撃を行っていたことが判明し、MozillaやApple、Google、Microsoftのブラウザーが証明書のブロックを開始したそうだ(Mozillaブログ Open Policy & Advocacyの記事Ars Technicaの記事ZDNetの記事Mac Rumorsの記事)。

カザフスタンでは2019年にも政府発行のルート証明書による中間者攻撃が判明して各社のブラウザーでブロックされている。今回、カザフスタン政府はサイバー攻撃増加を理由に首都ヌルスルタンで12月6日から訓練を行うと発表し、特定の国外Webサイトへのアクセスに問題が発生した場合はセキュリティ証明書をインストールすれば解決すると説明していた。

しかし、この証明書を用いてカザフスタン政府がFacebookやGoogle、Instagram、Mail.ru、Twitter、VK、YouTubeなどのドメインへのトラフィックを傍受していることが明らかになり、各社ブラウザーで証明書がブロックされる結果となった。証明書のブロックにより、カザフスタンから対象ドメインにアクセスしようとするとエラーメッセージが表示されることになる。Mozillaでは影響を受けるユーザーに対し、VPNの使用やTor Browserの使用を推奨している。

すべて読む | セキュリティセクション | セキュリティ | YRO | 暗号 | 政府 | プライバシ | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
GoogleがChrome独自のルート証明書プログラムを計画中 2020年11月13日
Microsoft、Microsoft Edge 85以降でSHA-1証明書の使用を可能にする新たな(かつ非推奨の)グループポリシーを追加 2020年09月02日
Let's Encrypt証明書を使用しているWebサイト、Android 7.1以前の端末での閲覧に影響か 2020年08月12日
マーケティング企業がこっそりと人気VPNアプリや広告ブロックアプリからユーザーデータを収集していたとの指摘 2020年03月14日
Chrome/Firefox/Safariがカザフスタン政府の証明書をブロック、政府による傍受に対処 2019年08月23日
EFF曰く、スモールビジネスを守ると称してAppleを批判するFacebookのキャンペーンはお笑い草 2020年12月23日

ポイ活ブラウザアプリSmoozは閲覧情報をすべて外部送信している

✇スラド
著者: nagazou
2020年12月21日 12:00

ブラウザアプリ「Smooz」個人情報を数多く送信しているとして話題になっているようだ。Smoozは検索するだけでポイントがもらえるサービスなどを提供しており、人気を博しているのだという。一方でこのことを指摘しているreliphone (for iPhone) の記事によれば、その利用情報がすべて開発元のアスツール社に送信されているそうだ。

reliphone (for iPhone) の複数回にわたって行われた検証記事では、Smoozがどのような挙動を見せているのかなどの点を指摘している。記事冒頭の何が行われているかをまとめてある部分を引用すると次のようになる(reliphoneその1その2その3)。

  • デフォルトの設定では、設定・操作・閲覧情報がユーザーID、デバイスIDと共にアスツール社のサーバーへ送信されている
  • 検索窓に入力した文字は、検索ボタンを押さなくても、その内容が逐一アスツール社のサーバーへ送信されている
  • 検索内容がアダルト関連ワードかどうかがアスツール社のサーバーに送信され判定されている
  • サービス利用データの提供設定をオフにしても、閲覧情報がアスツール社のサーバーに送信されている
  • プライベートモードにしても、閲覧情報がアスツール社のサーバーに送信されている
  • https通信であろうとも閲覧したURLは完全な形でアスツール社のサーバーに送信されている

ただしユーザーはこのアプリを利用する時点で、同社の規定しているプライバシーポリシーには同意しており、個人情報の流出はユーザー自身が認めたものとなっている。また公式Twitterの説明でも、収益を得る方法として、

①アプリ内のフィード等に表示される広告 ②プレミアムサービスの月額課金

としており、個人情報を利用して広告を表示することで収益を得ていること自体は明記されている。ただしSmoozによって送られた情報は非常に多く、送られたその情報がどのように扱われているかは不透明な部分が多い。こうした指摘を受けて、開発元のアスツール社は声明を発表した

ただし、20日夜の段階では

とTwitterで発表している。

すべて読む | セキュリティセクション | YRO | インターネット | 情報漏洩 | プライバシ | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
マルウェアを含む拡張機能計28本、ChromeウェブストアとEdgeアドオンストアで見つかる 2020年12月20日
政府が小中学生の成績や健康情報などをデータ化、マイナンバーで管理する方針 2020年12月17日
中国・東莞市、市民の反発を受けて顔認識トイレットペーパーディスペンサーの使用を中止 2020年12月09日
2020年版パスワードを正しく使用していない人・団体のランキング、1位はTwitter従業員、2位はZoomユーザー 2020年12月05日
Canon USA、7月から8月に不正アクセスを受けて従業員の個人情報が流出 2020年11月29日
米連邦捜査局、同局になりすます偽ドメインが多数確認されているとして注意喚起 2020年11月27日

❌