TikTokがコード挿入でウェブ遷移後のキーボード入力とタップを監視か

プライバシー研究者のFelix Krause(フェリックス・クラウス)が独自に行ったプライバシー調査の結果、TikTokのiOSアプリがウェブサイト遷移後すべてのキーボード入力とタップを監視できるコードを注入していることが判明した。

TikTokがコード挿入でウェブ遷移後のキーボード入力とタップを監視か
Photo by Solen Feyissa on Unsplash

プライバシー研究者のFelix Krause(フェリックス・クラウス)が独自に行ったプライバシー調査の結果、TikTokのiOSアプリがウェブサイト遷移後すべてのキーボード入力とタップを監視できるコードを注入していることが判明した。

「TikTok iOSは、TikTokアプリ内に表示される第三者のウェブサイトで発生するすべてのキーストローク(テキスト入力)を購読しています。これには、パスワード、クレジットカード情報およびその他の機密ユーザーデータが含まれている可能性がある」とクラウスは、調査結果の詳細を説明するブログ投稿で警告している。

「技術的な観点から、これはサードパーティのWebサイトにキーロガー(キーボードの操作の内容を記録する悪質なソフトウェア)をインストールすることと同等です」

先週、クラウスはMetaのFacebookとInstagramのiOSアプリがウェブサイトへ遷移した後のユーザーの行動を追跡する可能性を指摘した。それを実現するコード挿入はアプリ内ブラウザの仕様を活用したものだったTikTokもアプリ内ブラウザの仕様を使い、ウェブサイトに無断でJavaScriptコードを挿入し、トラッキングを行っていることをクラウスは発見した。

アプリ内ブラウザは、WebViewによってAndroidおよびiOSに実装されており、この仕様はFacebookやInstagramのアプリのユーザーが、アプリを終了してブラウザを開くことなくウェブサイトを操作できるようにするものだ。

FBとInstagram、他社ウェブサイトに無断でコード挿入しユーザーを追跡
iOSデバイス上のInstagramおよびFacebookアプリが、ユーザーがアプリ内のリンクをクリックした後、ユーザーが訪れたウェブサイトを書き換え、ウェブでの行動をトラッキング(追跡)していたことが、元Googleエンジニアの調査により明らかになった。

クラウスはアプリ内ブラウザがJavaScriptの挿入をしているかを調査するサイトである「InAppBrowser.com」を作成した。クラウスはInAppBrowser.comをオープンソース化しGitHubで公開している。

クラウスは、このツールを使って、いくつかの主要なアプリの簡単な比較分析を行った。その結果、アプリ内ブラウザに対する挙動に関して、TikTokは、購読していると確認された入力の範囲、および、Webリンクを開くためにデフォルトのモバイルブラウザ(アプリ内ブラウザではなく)を使用するというオプションをユーザに提供していないという理由から、トップになったという。

TikTokは「JavaScriptのコードが私たちのアプリが悪意のあることをしていることを意味しない」「このコードを通じてキーストロークやテキスト入力を収集しておらず、デバッグ、トラブルシューティング、パフォーマンス監視のためにのみ使用している」と反論している。

これを裏付けるために、広報担当者はGitHubにあるTikTok以外の同じコードを指摘したようだ。このコードは、不適切なデータ収集の証拠として研究によって引用されたのと全く同じ反応を引き起こすが、むしろ、TikTokでは「StopListening」コマンドを引き起こすために使用されており、特にアプリケーションが入力されたものをキャプチャするのを防ぐ、とTech Crunchに対して主張している。

さらに、Tech Crunchによると、研究によって取り上げられたJavaScriptコードは、純粋にデバッグ、トラブルシューティング、アプリ内ブラウザのパフォーマンス監視に使用され、ページの読み込み速度やクラッシュの有無などを確認するなど、ユーザー体験を最適化するために使用されると主張した。

そして、問題のJavaScriptは、同社が使用しているSDKの一部でもあるとし、さらに、特定のコードが存在するからといって、同社がそれを使用しているわけではないと主張している。

また広報担当者は、アプリがユーザーのデバイス上の特定のカテゴリの情報にアクセスすることを許可することと、アプリストアのポリシーに従ってデータを収集または処理することの違いを強調し、問題の情報のカテゴリに関連する多くの要素が、情報自体がTikTokによって収集されることなくデバイス上でローカルに分析される可能性を示唆したという。

Read more

新たなスエズ危機に直面する米海軍[英エコノミスト]

新たなスエズ危機に直面する米海軍[英エコノミスト]

世界が繁栄するためには、船が港に到着しなければならない。マラッカ海峡やパナマ運河のような狭い航路を通過するとき、船舶は最も脆弱になる。そのため、スエズ運河への唯一の南側航路である紅海で最近急増している船舶への攻撃は、世界貿易にとって重大な脅威となっている。イランに支援されたイエメンの過激派フーシ派は、表向きはパレスチナ人を支援するために、35カ国以上につながる船舶に向けて100機以上の無人機やミサイルを発射した。彼らのキャンペーンは、黒海から南シナ海まですでに危険にさらされている航行の自由の原則に対する冒涜である。アメリカとその同盟国は、中東での紛争をエスカレートさせることなく、この問題にしっかりと対処しなければならない。 世界のコンテナ輸送量の20%、海上貿易の10%、海上ガスと石油の8~10%が紅海とスエズルートを通過している。数週間の騒乱の後、世界の5大コンテナ船会社のうち4社が紅海とスエズ航路の航海を停止し、BPは石油の出荷を一時停止した。十分な供給があるため、エネルギー価格への影響は軽微である。しかし、コンテナ会社の株価は、投資家が輸送能力の縮小を予想している

By エコノミスト(英国)
新型ジェットエンジンが超音速飛行を復活させる可能性[英エコノミスト]

新型ジェットエンジンが超音速飛行を復活させる可能性[英エコノミスト]

1960年代以来、世界中のエンジニアが回転デトネーションエンジン(RDE)と呼ばれる新しいタイプのジェット機を研究してきたが、実験段階を超えることはなかった。世界最大のジェットエンジン製造会社のひとつであるジー・エアロスペースは最近、実用版を開発中であると発表した。今年初め、米国の国防高等研究計画局は、同じく大手航空宇宙グループであるRTX傘下のレイセオンに対し、ガンビットと呼ばれるRDEを開発するために2900万ドルの契約を結んだ。 両エンジンはミサイルの推進に使用され、ロケットや既存のジェットエンジンなど、現在の推進システムの航続距離や速度の限界を克服する。しかし、もし両社が実用化に成功すれば、超音速飛行を復活させる可能性も含め、RDEは航空分野でより幅広い役割を果たすことになるかもしれない。 中央フロリダ大学の先端航空宇宙エンジンの専門家であるカリーム・アーメッドは、RDEとは「火を制御された爆発に置き換える」ものだと説明する。専門用語で言えば、ジェットエンジンは酸素と燃料の燃焼に依存しており、これは科学者が消炎と呼ぶ亜音速の反応だからだ。それに比べてデトネーシ

By エコノミスト(英国)
ビッグテックと地政学がインターネットを作り変える[英エコノミスト]

ビッグテックと地政学がインターネットを作り変える[英エコノミスト]

今月初め、イギリス、エストニア、フィンランドの海軍がバルト海で合同演習を行った際、その目的は戦闘技術を磨くことではなかった。その代わり、海底のガスやデータのパイプラインを妨害行為から守るための訓練が行われた。今回の訓練は、10月に同海域の海底ケーブルが破損した事件を受けたものだ。フィンランド大統領のサウリ・ニーニストは、このいたずらの原因とされた中国船が海底にいかりを引きずった事故について、「意図的なのか、それとも極めて稚拙な技術の結果なのか」と疑問を呈した。 海底ケーブルはかつて、インターネットの退屈な配管と見なされていた。現在、アマゾン、グーグル、メタ、マイクロソフトといったデータ経済の巨人たちは、中国と米国の緊張が世界のデジタルインフラを分断する危険性をはらんでいるにもかかわらず、データの流れをよりコントロールすることを主張している。その結果、海底ケーブルは貴重な経済的・戦略的資産へと変貌を遂げようとしている。 海底データパイプは、大陸間インターネットトラフィックのほぼ99%を運んでいる。調査会社TeleGeographyによると、現在550本の海底ケーブルが活動

By エコノミスト(英国)