中国製ブラウザがページ履歴・検索履歴・近所のWi-Fi・HDDのシリアル番号などを送信していたことが発覚
中国最大のインスタントメッセンジャー「QQ」で知られる騰訊(テンセント)のウェブブラウザ「QQ Browser」が、ユーザーの閲覧したページや検索フレーズ、周辺のWi-Fiのアクセスポイント、ハードディスク(HDD)のシリアル番号、Android IDなどの個人情報をサーバーに送信していたことが明らかになりました。さらにこの情報送信は暗号化されていないものもあり、大きなセキュリティリスクとなっていることが指摘されています。
WUP! There It Is: Privacy and Security Issues in QQ Browser - The Citizen Lab
https://citizenlab.org/2016/03/privacy-security-issues-qq-browser/
Researchers identify major security and privacy issues in Popular China Browser Application, QQ - The Citizen Lab
https://citizenlab.org/2016/03/researchers-identify-major-security-and-privacy-issues-in-popular-china-browser-application-qq/
この事実を突き止めたのはカナダ・トロント大学のCitizen Lab。Citizen Labによると、Windows版のv9.2.5478では、「閲覧したページURL」「MACアドレス」「PCの名前」「HDDのシリアル番号」などを、Android版のv6.3.01920では「IMEI」「IMSI」「接続したWi-FiのSSID」「アドレスバーに入力した検索クエリ」などを送信しているとのこと。さらに、これらの情報は暗号化されない状態で送信されるか、暗号化されていても128ビットのRSA暗号という比較的簡単に復号できる状態で送信されていたことが分かっています。ちなみにQQ Browserが使う暗号化プロセスは、あまり一般的ではないMTEA+CBCというシステムが使われており、これはCitizen Labが2016年2月にプライバシー&セキュリティリスクを指摘した中国製ブラウザ「Baidu Browser」と同じ実装だとのこと。
そもそもユーザーを識別し、場合によっては個人を特定することさえ可能な情報をQQ Browserが無断で収集していたこと自体、ゆゆしき問題ですが、これらの個人情報が暗号化されていないか簡単に解読できる状態で送信されていることから、悪意のある第三者に情報送信を傍受されて情報が拡散するという危険性も問題になりそうです。
さらに、Citizen Labによると、QQ Browserには脆弱性があり、この脆弱性をつかれると、ソフトウェアアップデート時に任意のコードを実行される危険性があるとのこと。
By Don Hankins
Citizen Labは2016年2月5日に、QQ Browserが行き過ぎた情報収集をしていることや任意のコードを実行される脆弱性を抱えていることなどを開発元のテンセントに報告し、詳細についての回答を求めるべく質問状を送付し、通知から45日以内の回答を求めたそうですが、2016年3月28日の時点でテンセント側から回答がなかったため、QQ Browserによる情報収集について公開に踏み切ったというわけです。
テンセントは2016年3月2日にQQ BrowserをWindows版はv9.3.6872に、Android版は6.4.2.2075にアップデートしたため、Citizen Labが指摘した問題点について解決しているかどうかを確認したところ、Windows版ではMACアドレス、HDDのシリアル番号、PC識別用の情報は依然として容易に解読できるアルゴリズムで送信されていることが確認できたとのこと。また、Android版については報告した問題点は部分的に解消されているものの、未解決の問題もあるとのこと。なお、暗号化のRSA鍵は128ビットから1024ビットに変更されたことが確認できたそうですが、Citizen Labは「少なくとも2048ビット以上の暗号鍵を使うのが望ましい」と指摘しています。
・関連記事
入力した文字列をすべて無断でサーバに送信していた「Baidu IME」削除方法 - GIGAZINE
中国BaiduのSDKにバックドアが発覚、致命的な脆弱性を持つ人気アプリまとめ - GIGAZINE
95%のAndroid端末にMMSを受信するだけで端末を乗っ取られる脆弱性が発覚、対策はこれ - GIGAZINE
テキスト共有サイトの投稿からパスワードなどを抽出してツイートするボット「Dump Monitor」 - GIGAZINE
・関連コンテンツ