2013年ももう少しで終わりですが、またまたAndroid界隈でセキュリティに関するニュースが降ってきてしまいました。今回はBaiduが開発するAndroidの文字入力アプリ「Simeji(しめじ)」がユーザーに無断で入力した文字を外部に送信していたというものです。
Twitterでの反応を見てみると、利用規約に書いてあるじゃないか!という声もあり、ホントに無断なのか、そうではないのか。また、外部に送信されていた内容にはクレジットカードの番号や電話番号なども含まれるのかなどを調べてみました。
問題になったのは「クラウド変換」機能
Baiduが開発を行うAndroidの文字入力アプリ「Simeji(しめじ)」は、元々、@adamrockerさんが開発していたもので2011年に中国のBaiduが買収しました。そのSimejiに搭載されている「クラウド変換」機能が問題となっているわけですが、機能の内容としてはユーザーが入力した文字をクラウドに送信し、クラウドから変換後の文字が返ってくるというものです。具体的には「きょう」と入力して変換すると、予測変換に「2013/12/26(木)」が表示されます。
ホントにSimejiは無断で入力情報を送信させていたのか
Twitterでは、Simejiはインストール時に表示される利用規約に書かれているとの反応があったので、確認するべく実際にインストールしてみました。インストール直後にSimejiを起動すると確かに利用規約が表示されます。
利用規約はこちらからも確認することができます。確かに入力した文字を外部に送信すると解釈することもできますが、わかりやすいとは言えないものになっています。
また、利用規約のすぐ下に「ログ情報を送信」というチェックボックスがあり、これをオフにしてインストールを進めることで規約に書かれている情報は外部に送信されないんだろうなとも思いましたが、チェックボックスを外しても、クラウド変換機能はデフォルトオンになっているため、ユーザーがわからないまま入力した文字がサーバに送られていた可能性も十分に考えられます。
インストールの中でSimejiで文字入力ができるようにAndroidの設定画面でチェックを入れるとこんな画面が表示されます。アプリに収集されるという文言はあるものの、外部に送信するといった文言はありません。ちなみに、この文言は他の文字入力アプリでも表示されるのでSimeji特有のものではありません。
いくつかの手順を終えてインストールを完了させましたが、ユーザーに注意喚起していたのはこの2つのみで、入力した文字がサーバに送信されるとの記載がはっきりと示されていたとは言えないと思います。これだと無断で外部に送信されたと感じるユーザーもかなり多くいるのではと感じました。
ちょっと前に騒動があった「ドコモ地図ナビ」は利用規約に明記されていたものの、利用規約の量が多く見つけにくいことから問題になりました。Simejiの場合は利用規約の量はかなり少ないものですが、「ドコモ地図ナビ」ほど明確に書いてないため、「規約に書いてあるから無断ではない」とはちょっと言えないかなと思います。
クラウド変換で送信される内容とは
重要なのはクラウドでの変換機能を利用するために送信されていた情報がどういったものかということです。仕様はクラウド変換が提供された時のリリースから読み取ることができますが、半角英数字や記号などは送信されず、送信された内容はSSLによって暗号化されるというものです。仕様に大きな問題はなさそうです。
ネット上の辞書機能を活用するということは入力情報を回線を通してクラウドに送り込むということです。その点に不安を感じることもあるのではないでしょうか。
Simejiがクラウド変換機能を実行するのは日本語入力時のみ。つまり、パスワードやID、カード番号といった重要な情報の入力に利用する半角英数字、記号については通信を行いません。通信内容も暗号化されるため、プライバシーは守られますから安心して幅広くご活用ください。
引用元:Simejiが驚異的に賢くなりました! – Android用日本語IME Simeji
クラウド変換オフでも入力内容が送信されるバグが見つかる
ユーザーに無断で入力内容を送信していたという問題とは別にセキュリティ対策会社のネットエージェント社からクラウド変換をオフにしても入力した文字がサーバに送信されているとの指摘があり、Baiduはこれを認めています。Baidu IME , Simejiでは、全角入力の場合のみ情報が送信されています。
クラウド入力Offの場合でも入力文字列を送信していました。
パスワードなど半角入力のみの場合は送信されていません。クレジット番号や電話番号も変換しなければ送られません
引用元:NetAgent Official Blog : 入力情報を送信するIME
報道を受けて弊社で調査させていただいた結果、SimejiについてログセッションがOFFの場合でも一部のログデータが送信されていた事実を確認しました。このデータは、変換精度をあげるためのデータとして活用しているものですが、バージョンアップ時に起こった実装バグということが判明しました。こちらは今年3月にリリースしたバージョン5.6から発生していたことが判明しました。本日中に改善した最新バージョンを緊急リリース予定です。リリース情報は、準備ができ次第別途ご案内予定です。
引用元:Baidu(バイドゥ)ニュース – Baidu.jp に関するニュース
バージョン5.6がリリースされたのは2013年3月ですから9ヶ月間もバグが潜んでいたことになります。バージョン5.6のアップデートでは思いっきり変換まわりをいじっているのでテストに不備があったということでしょうか
Simeji 5.6 の特徴は以下のとおりです。
☆ キーボードの切り替えや変換候補の表示スピードを改善しました
☆ 変換候補内に[全][半]を表示し、全角・半角の区別をつきやすくしました
☆ 「いま」「きょう」「あす」「あさって」などの入力で具体的な日時を表示する機能を追加
「これ、待ってました!超便利です。」 「なう」で日付と時間まで出るなんて!
ちなみに、「いまで」と入力すると「今でしょ」が変換されますよ。φ(≖ω≖。)
☆ 単漢字変換の精度を強化しました。
☆ 不具合を修正し安定性を向上しています。
引用元:2013 3月 14 | Baidu Japan Blog
まとめ
今回の件に関して箇条書きでまとめます。- 利用規約にはクラウド変換機能について明確な記載はなかった
- ログ送信機能については明確にユーザーの許可を得ている
- クラウド変換機能では、半角英数字と記号は送信されない
- バージョン 5.6でのバグ混入により、クラウド変換オフでも入力内容がサーバに送信される
- バグの改善版は本日中にリリースされる
利用規約の内容については意見が割れるところだと思いますが、割れる時点で内容としては不十分であり、ユーザーにとって親切ではないため、問題ありと判断するべきかと思います。
コメントを残す