■Android/iPhoneで無償利用可能なExchangeサービス
 iPhoneやAndroid端末でActiveSyncやリモートワイプの試験ができる環境を調べたメモ。完全無料はCodenameのみ。後はトライアルにて期間限定で無料利用が可能。法人契約前提のサービスも多いので要確認。料金はActiveSync/リモートワイプが可能な契約内容の料金とした。2010/3/8現在の調査結果。

■Codename(Exchange2007 無料 3ヶ月毎に継続手続き必須)
 サービス:ActiveSync可/リモートワイプ可
 初期設定:0円
 月額料金:0円(1ユーザからOK)
 容量:25M
 http://codename.win1.jp/default.aspx
 ※ワイプはOWAでアクセスして実行する

■アイル Exchange (Exchange2003? 14日無料トライアル可能)
 サービス:ActiveSync可/リモートワイプ可
 初期設定:1575円
 月額料金:890円(1ユーザからOK)
 容量:3G
 http://home.isle.ne.jp/service/apps/exchange/support/trial.html
 http://home.isle.ne.jp/service/apps/exchange/index.html

■Livestyle Exchange2007 E-standard(Exchange2007 30日間無料トライアル可能)
 サービス:ActiveSync可/リモートワイプ可
 初期設定:1680円
 月額料金:1680円/ユーザ(1ユーザからOK)
 容量:1G/ユーザ
 http://www.live-style.jp/price/Pages/default.aspx
 http://www.live-style.jp/exchange/Pages/default.aspx

■KDDI Business Outlook (Exchange2007 14日間無料トライアル可能)
 サービス:ActiveSync可/リモートワイプ不明
 初期設定:0円
 月額料金:980円/ユーザ(1ユーザからOK)
 容量:1G/ユーザ
 http://www.kddi.com/pub/outlook/application/free.html
 http://www.kddi.com/pub/outlook/index.html

■Microsoft Exchange Online Standard(Exchange2007 30日間無料トライアル可能)
 サービス:ActiveSync可/リモートワイプ不明
 初期設定:0円
 月額料金:522円/ユーザ(5ユーザから契約可能)
 容量:25G/ユーザ
 http://www.microsoft.com/japan/online/trial.mspx
 http://www.microsoft.com/online/ja-jp/exchange-online.mspx

, , , , ,
とりあえず付けておく無駄ではなかったなまぁまぁ読めたちょっと役に立ったかなかなり良かったかも (まだ評価されていません)
Loading...

■Viber v1.1の現状とv2.0のリリース予定

 最新の記事
 Viber 2.1遂に連絡先平文送信を変更
 http://blog.isnext.net/issy/archives/1610

 久しぶりにViberの記事追加です。1月に約束通りv1.1がリリースされていたこと、約束された変更が行われたことは確認していましたが、記事にしていませんでした。例のblogにViber社CEOのTalmon Marco氏が2/20のコメントでv2.0について言及していたので、思い出して今更ですが記事にしておこうと思いました。

■v1.1の現状
 v1.1では以前の記事で取り上げた内容の内、以下の3つの約束が実行されています。

 ・アドレス帳へのアクセスに関する通知については1月のリリースで変更する
 ・同様に1月にプライバシーポリシーへのリンクを最初の画面に追加する
 ・Viberを買収や合併しようとする場合、強制的に自分達のプライバシーポリシーを受け入れる必要があることを明記する

1)現在通知は以下のようになっています。

The Viber service needs to access your address book.
Viberサービスはあなたのアドレス帳にアクセスする必要があります。

 Don’t Allowを選んだ場合以下の説明が表示され、確認後再度通知が行われるようになっています。

Access to your address book is required to determine which of your contacts are on Viber.
あなたのアドレス帳にアクセスするのは、あなたの連絡先の内誰がVibarを使っているか確定するために必要だからです。

 Viberサービスがアクセスするという言い方は微妙なところですが、アプリがアクセスするという表現よりは、サービスとして必要としていると言う説明と合わせて、それなりに合理性はあるように感じます。

2)ポリシーへのリンクについては以下の箇所で追加されていることを確認しています。
 ・インストール直後に表示されるWelcome to ViberのタイトルページのContinueボタン直下
 ・起動後moreメニューの中にPrivasy Polisy項目を追加

3)ポリシーへの追記事項についてはプライバシーポリシーの 5. Business Transitions の項目に同内容が追記されています。

■v2.0のリリース予定
 以前の記事で取り上げた内容の内残る約束は2つでそれはおそらく数週間以内にリリースされる予定のViber v2.0で実現されると推測されます。内容は以下の2つです。

 ・暗号化対応
 ・個人データの削除リンクの追加

 コメント内でTalmon Marco氏は「Viber 2.0 should be around in a couple of weeks.」と述べていますので、2/20から起算して長くても3週間程度、3月中旬にはv2.0がリリースされると考えられます。以前の記事でも太字で記載しましたが、当時Viberの問題点は2つあり、1つはユーザの了解のないところでアドレス帳データをサーバに送信していること、もう1つはデータ送信が平文で送られていること、だと考えています。v2.0のリリースが果たされることで問題は解決されると期待できます。リリースされたら、またキャプチャして検証した上で記事を起こしたいと思います。

※Viber 2.0自体ではSMS機能が目玉として追加される予定です。またこれまで明らかにされているリリーススケジュールから推測するとAndroidバージョンが同時リリースされる可能性があります。Android版のベータテスターには応募していたのですが、タイミングが遅かったこともあり結局連絡来ずで残念という感じでしょうか。

, ,
とりあえず付けておく無駄ではなかったなまぁまぁ読めたちょっと役に立ったかなかなり良かったかも (3 投票, 平均値/最大値: 4.67 / 5)
Loading...

■Android用アンチウイルス&アンチマルウェアソフト 2011年3月版
 以前紹介したアンチウイルスソフトの記事へのアクセスが比較的多いため最新版へ更新します。2010年6月と比較するとAndroid向けに現実のウイルスが発見されたこともあって、アンチウイルス・アンチマルウェアを掲げるソフトウェアが増えてきています。また、そうしたアプリの検証目的と思われる疑似ウイルステストファイルもAndroidマーケットで複数確認できました。ここではAndroid2.xに対応した無償で利用可能なアプリを紹介します。全てをインストールしたわけではありません。現在入手可能な製品をリストしているだけですので、ご注意ください。ご利用は自己責任で。

各アプリケーションの紹介リンクはAndroid用アプリケーションの検索サイト「AppBrain」です。
http://www.appbrain.com/

以前はCyrketを紹介していましたが更新がされていないようなので、AppBrainに変更しました。

■無償利用可能なアンチウイルスアプリ
(Anti Virusと説明にあるものでAnti Malwareも含む)

Antivirus Free
http://www.appbrain.com/app/antivirus-free/com.zrgiu.antivirus

NetQin Antivirus FREE
http://www.appbrain.com/app/antivirus-free-netqin/com.netqin.antivirusgm20

Antivirus Free – AVG
http://www.appbrain.com/app/antivirus-free-avg/com.antivirus

BluePoint Antivirus Free
http://www.appbrain.com/app/bluepoint-antivirus-free/bluepointfree.ad

Antivirus – Risk Detector
http://www.appbrain.com/app/antivirus-risk-detector/com.edroidapps.riskdetector

Onetouch Antivirus
http://www.appbrain.com/app/onetouch-antivirus/com.shipwrecktech.antivirus1

Super Security Standard
http://www.appbrain.com/app/super-security-standard/com.superdroid.security2

MYAndroid Protection 2.0+
http://www.appbrain.com/app/myandroid-protection-2-0/com.mymobileprotection20

AppScan Beta (security tool)
http://www.appbrain.com/app/appscan-beta-(security-tool)/com.aegislab.atrprj.appscan

Kinetoo Malware Scan
http://www.appbrain.com/app/kinetoo-malware-scan/com.cpumedia.android.kinetoo

Anti virus
http://www.appbrain.com/app/anti-virus/com.aka.antimalware

Dr.Web for Android Light
http://www.appbrain.com/app/dr-web-for-android-light/com.drweb

360 Mobile Safe
http://www.appbrain.com/app/360-mobile-safe/com.qihoo360.mobilesafe

MobiShield
http://www.appbrain.com/app/mobishield/com.trustmobi.MobiShield

ViRobot Mobile
http://www.appbrain.com/app/virobot-mobile/com.hauri.ViRobotMobile

SecuritySuite (new)
http://www.appbrain.com/app/securitysuite-(new)/com.droidHunter

Virus Terminator(antivirus)
http://www.appbrain.com/app/virus-terminator%28antivirus%29/com.opensystem.terminator

Android Defender Virus protect
http://www.appbrain.com/app/android-defender-virus-protect/com.moonbeamdevelopment.riskdetector.android

Aegislab Antivirus Free
http://www.appbrain.com/app/aegislab-antivirus-free/com.aegislab.sd3prj.antivirus.free

Mobile Secure/Security
http://www.appbrain.com/app/mobile-secure-security/com.mobileann.MobileAnn

ALYac Android
https://market.android.com/details?id=com.estsoft.alyac&feature=search_result

■無償利用可能なアンチマルウェアアプリ
(Anti Malwareと説明にあり、Anti Virusとないもの)

Lookout Mobile Security
http://www.appbrain.com/app/lookout-mobile-security/com.lookout

Norton Mobile Security (Beta)(おそらく製品版発売に伴い3/18前に非公開になると推測)
http://www.appbrain.com/app/norton-mobile-security-(beta)/com.symantec.mobilesecurity

Android Optimizer
http://www.appbrain.com/app/android-optimizer/cn.opda.a.phonoalbumshoushou

nProtect Mobile
http://www.appbrain.com/app/nprotect-mobile/com.inca.nprotect

Super Security Standard
http://www.appbrain.com/app/super-security-standard/com.superdroid.security2

■試用可能なアンチウイルスアプリ

BlackBelt AntiVirus – Trial:30日試用版
http://www.appbrain.com/app/blackbelt-antivirus-trial/com.blackbelt.antivirus

SmrtGuard Mobile Security:Pro版を30日試用可
http://www.appbrain.com/app/smrtguard-mobile-security/com.smrtguard

F-Secure Mobile Security6:「Try for Free」ボタンから試用可能
http://f-secure.mobi/

Kaspersky Mobile Security日本語版:30日試用可能
http://www.androidsecurity.jp/

Kaspersky Mobile Security:「Free Trial」ボタンから7日間試用可能
http://www.kaspersky.com/kaspersky_mobile_security

MYMobile Protection 2.0+:30日試用版
http://www.appbrain.com/app/mymobile-protection-2-0/com.netqin.antivirussc

■SoftBank利用者向けアンチウイルスサービス(3月末まで無料)

スマートセキュリティpowered by McAfee
http://mb.softbank.jp/mb/special/10winter/feature/smart_security/

■アンチウイルスアプリの動作検証用テストファイル
 アンチウイルスアプリをインストールした状態で以下のファイルをインストールしようとすることで、アンチウイルス機能が正しく動作しているかどうか確認できるというもの。アンチウイルスアプリをインストールしたら念のため試しておくことをオススメ。

Antivirus TESTVIRUS
http://www.appbrain.com/app/antivirus-testvirus/com.ANTIVIRUS.TESTFILE

EICAR Anti-virus Test
http://www.appbrain.com/app/eicar-anti-virus-test/uk.co.extorian.EICARAntiVirusTest

■雑感
 今回敢えてAnti Virusと書いていないアプリを分離して表記してみました。何故かと言うと上記リストにもある比較的メジャーなアンチウイルスだと思っていたアプリLookoutをインストールしていたのですが、たまたま気になってEICARのウイルステストファイルをEICARのWebサイトから直接ダウンロードしてみたところ、何の警告もなくダウンロードされてしまったことで、実はそのアプリがAndroidのマルウェアやスパイウェアアプリしかチェックしていないことに気付くことになったためです。Android上でウイルスが活動しようとする場合アプリとして動作する前提でチェックしているため、メールやSDカードなどにウイルスファイルが存在してもチェックができないというものでした。Android2.xの標準メーラでは画像以外添付できないよう制限されているようなので(添付ボタンでファイル添付しようとするとギャラリーアプリから画像のみ添付対象として表示される)、誤って送信してしまうというようなことはないと思われますし、Lookoutがそういう動作をするものだと思っていればいいのですが、知らずにウイルスファイルを端末内に保持してしまう可能性があるのは嬉しくない(端末をUSBでPCマウントした時に初めて警告が出る可能性がある)と思いました。

 近いうちに上記の全てとはいきませんが、いくつかメジャーなものを選択してアンチウイルス機能の対象範囲がどの程度(WebアクセスやメールやSDカードがチェックできるのか)なのか検証してみたいと思っています。とりあえず、Androidのアンチウイルスアプリを検討する場合には用途に応じてウイルステストファイルなどで適切な動作確認をされることを強くオススメします。

※2/27 Kaspersky Mobile Securityを追記
 3/5 Norton Mobile Securityの発売予定とβ公開停止予測を追記
 3/26 ALYac Android他新しいソフトを追加
 4/18 Kaspersky Mobile Security日本語版を追記

,
とりあえず付けておく無駄ではなかったなまぁまぁ読めたちょっと役に立ったかなかなり良かったかも (2 投票, 平均値/最大値: 4.50 / 5)
Loading...

■SIPS(SIP/TLS)対応アプリのメモ
 意外と対応しているアプリや機器が少ないのだが、ある程度まとまっているURLを見つけたのでメモ。互換性の問題があるので選定のためには実機検証。

 FreeSWITCHのWikiより(ページ内をTLSで検索をお勧め)
 http://wiki.freeswitch.org/wiki/Interop_List

■iPhone用
 以下の3つしか見つけられなかった。GroundwireはAcrobit製なので安定していそう。本家にないTLSをサポートしているせいか値段が1200円と高め。PrivateGSMはマニュアル設定で汎用SIPプロバイダを設定可能。
 
 Groundwire – Business Caliber SIP Phone
 http://itunes.apple.com/jp/app/groundwire-business-caliber/id378503081?mt=8
 PrivateGSM
 http://itunes.apple.com/jp/app/privategsm/id380086048?mt=8
 PrivateGSM-Enterprise
 http://itunes.apple.com/jp/app/privategsm-enterprise/id410825598?mt=8

■Android用
 こちらは2つ。uMobilityはコンシューマ向けでないと宣言されているので注意。

 Voip By Antisip
 http://www.appbrain.com/app/voip-by-antisip/com.antisip.vbyantisip
 uMobility Android Client
 http://www.appbrain.com/app/umobility-android-client/com.varaha.umobility

■CommuniGate Proでの設定
 SIPサーバとしてCommuniGate Proを利用する場合、標準でSIPS対応のためTCP5061を外部から接続許可するだけでOK。

, , , ,
とりあえず付けておく無駄ではなかったなまぁまぁ読めたちょっと役に立ったかなかなり良かったかも (まだ評価されていません)
Loading...

■Viber社 CEOからの追加伝言
 先の記事の後、Viber社のCEO Talmon Marco氏から12/28に追加コメントがありましたので、こちらに意訳と合わせて紹介しておきます。先の返信についてより具体的な回答をいただきました。実際のコメントは以下のblogでどうぞ。

 Privacy 101 or Why You Should Not Use iPhone App Viber
 http://blog.agmon.com/2010/12/04/why-i-will-not-install-viber/

■要点まとめ
 ・暗号化対応を行うがQ1のいつになるかは明確ではない
 ・アドレス帳へのアクセスに関する通知については1月のリリースで変更する
 ・同様に1月にプライバシーポリシーへのリンクを最初の画面に追加する
 ・Q1の内にデータの削除リンクを追加する、サポート経由では即日対応する
 ・Viberを買収や合併しようとする場合、強制的に自分達のプライバシーポリシーを受け入れる必要があることを明記する

■所感
 暗号化とデータ削除リンクについてはQ1(2011年1月〜3月)のどこかということで、再度 in という単語を使っているので、3月末(Q1 END)まではかからないで実現されるのかもしれません。通知変更とポリシーへのリンクは1月に次回リリースを予定しているようで、そこで修正されるとしています。現在のViberの問題点は2つあり、1つはユーザの了解のないところでアドレス帳データをサーバに送信していること、もう1つはデータ送信が平文で送られていること、だと考えています。今回提示の修正が適切に行われれば、アドレス帳をサーバに送ることがユーザに事前に了解され、暗号化も選べるようになるはずなので、これらの問題は解決すると言えます。またポリシーへ到達しやすくなる改善、アカウントやデータが削除し易くなる改善も行われるので、より安心して利用可能なソフトウェアになると言えると考えます。買収等を想定したプライバシー情報保護の条項追加も適切だと思います。こうしたViber社のユーザの声に適切に対応する姿勢は素晴らしいと思います。願わくば今後もこうした姿勢を変えないで成長していって欲しいと思います。

 ただ、Viber自体がこうした要件を適切に満たすことと、日本のユーザが英語で提供されたアプリの通知内容を適切に理解して利用するかどうかは別のことなので、本来的に日本のユーザがViberを安心して利用するためにはアプリケーション(そしてプライバシーポリシー)の日本語ローカライズはやはり必要ではないかと思います。日本のViberユーザがある程度の規模になる時には、そうした要望もしていった方がいいのかもしれません。

続きに意訳を掲載します。

続きを読む

, ,
とりあえず付けておく無駄ではなかったなまぁまぁ読めたちょっと役に立ったかなかなり良かったかも (まだ評価されていません)
Loading...

■Viber 暗号化対応を示唆 CEOが表明
 Viberの通信が平文である懸念に対して、結論から言えば暗号化オプションは2011Q1末までに対応されるようです。前Viber関連記事の後該当blogにいくつか興味深いコメントが追加され、Aborn氏がこのblogのリンクを直接紹介してくださったこともあり、奮起してViber社のCEO Talmon Marco氏に直接要望を書きこんで見ました。結果サンタクロースが素晴らしいプレゼントを運んでくれることになったようです。簡単なまとめと所感、その後で、氏の発言の意訳とこちらの提示した案、そしてそれに対する返信を紹介します。英語が得意なわけではないので意訳となりますが、ご了承ください。以下前記事と該当blogのリンクを再掲。

 最新の記事
 Viber 2.1遂に連絡先平文送信を変更
 http://blog.isnext.net/issy/archives/1610

【12/31追記】Viberの修正について一部リリース時期が明らかにされました。
 Viber社 CEOからの追加伝言
 http://blog.isnext.net/issy/archives/649

 Viberが送信する情報のメモ
 http://blog.isnext.net/issy/archives/571
 Agmon Dot Com / Privacy 101 or Why You Should Not Use iPhone App Viber
 http://blog.agmon.com/2010/12/04/why-i-will-not-install-viber/

■要点まとめ(Viberの変更について)
 ・暗号化オプションは2011年3月末までに実現する
 ・アドレス帳アクセス時のメッセージ内容は変更するかもしれない
 ・アプリからプライバシーポリシーへのリンクを追加する
 ・将来的にアプリからアカウントデータ削除できる機能を追加する(現在サポート経由でのみ可能)

■要点まとめ(Viberの情報管理について)
 ・アカウント情報のうちID(電話番号)とUDID(端末識別)はデータベースで保持
 ・データベースのバックアップは30日分
 ・アドレス帳情報(名前、電話番号、着信音設定)は揮発性メモリ(RAM Disk?)で保持
 ・アカウントが30〜45日活動がなければアドレス帳情報は消去、バックアップ無し
 ・アカウントが削除されればデータは消去
 ・将来提供するSMSは14日サーバ保存、バックアップも最長で30日分
 ・通話内容は記録していない
 ・通話ログは現時点は無期限で保存
 ・通話ログで残しているのは誰が誰とどのくらいの時間話したかと技術的なパラメータのみ
 ・ネットワークの解析や向上、デバッグなどで利用するため
 ・第3者と情報を共有するというのは、認証SMS送信サービスやサーバのあるAmazonのこと
 ・現在は他にパートナーはいない
 ・近く音声での認証のためパートナーを増やす予定がある
 ・会社を売却することがあってもプライバシーポリシーを守ってくれる相手にする
 ・情報を売りません。それを取引しません。悪用しません。

■所感
 今のところViber社のCEOはblogのコメントに対しても非常に誠実に回答していると思われます。彼らが宣言していることは、第3者の監査がない限り客観的には証明され得ないので、今は彼らの動向やユーザへの対応を注意して見ていくことが必要だと思います。ソフトウェアの暗号化改修を待って使うのもいいですし、連絡先に入れておく人数を最小限にしてViberを使う了解をもらった上でリスクを受け入れるのもいいと思います。個人的には暗号化非対応なのは、同じ通信帯域であれば平文で送信の方がより帯域が広く使える(暗号化するとデータ量が増える)ことと、iPhoneのCPUを暗号解読に使うより、通話品質確保に回す方がよい音声通話が実現できるからなのかと思っていました。iMeshを作成した人たちだけあって、自分たちのリスクヘッジのためとは、少々意外というか、言われてみればそうですよね、というか…。

 少なくとも極東の1bloggerの提案も真摯に回答してくれて、提案や批判はどんどん受け入れると門戸を開いてくれているのだから、Viberをより便利に安心して利用したい人は、コンタクトしてみてもいいかもしれません。暗号化やデータ消去リンクが実現されたら、再度使ってみようと思います。

続きに意訳を掲載します。

続きを読む

, , ,
とりあえず付けておく無駄ではなかったなまぁまぁ読めたちょっと役に立ったかなかなり良かったかも (まだ評価されていません)
Loading...

■IS01のbcc漏えいバグをIS03で検証する
 巷でauの対応が話題騒然となっているIS01のbcc漏えいバグ(docomoのSH-10Bにも有り)について、IS01は所有していないので実機検証することができないのだが、(au,docomoの両機種で発現していることから)SHARPカスタマイズのPCメールアプリバグであろうと推測し、IS03のPCメールでは問題がないかどうか念のため検証をしてみることにした。

 検証したIS03のビルドは01.00.01。IS01には簡単に言うと3種類のメール設定実装があり、ひとつはau独自のCメールとEメール(ezweb.ne.jpアドレスを利用)が使えるもの、ひとつはアカウント設定から追加可能なExchangeもしくはGoogle同期用メール、最後のひとつはPCメールアプリから設定するPOP/IMAP対応(Exchange設定も可)のメールとなっている。今回はgigazineで紹介されている記事と同様にYahooメールでbcc漏えいの確認をしてみた。また念のためSMTP通信の内容を確認できるよう手元のCommunigate Proサーバにて同様の実験をしてdumpした送信データの中にbccヘッダがないか確認を行った。利用したPCメールアプリのバージョンは7。

 検証結果
 1)Yahooメールでのbcc発露無し
 2)CommuniGate Pro上のdumpログのSMTP DATA部内にbccヘッダ記述無し

 少なくともIS03では同様の問題がないことは確認できた。IS03のPCアプリはバージョンが7とはなっているが、インターフェースを見る限りAndroid標準メールソフトをベースに「PCメール専用」っぽく見えるようにカスタマイズされただけのように見え、SHARPが独自実装したものではなさそうなので結果としては順当ということかもしれない。他所でも解説されたところがあったが、通常メールクライアントソフトはbccで送信する場合、bccヘッダというものをメールサーバに送信する必要はなく、宛先をRCPT TOとしてサーバに渡すだけで良い。メールヘッダとして「敢えて」bccをDATA内に記述するとなると、サーバ側でbccヘッダ行を削除する実装がない限りその内容はメールとして送信されてしまう可能性は高い。メールクライアントがbccヘッダを付けたメール情報をサーバに送信するのに正当な理由があるとすれば、自分が送信したメールの送信控えをサーバの送信済みメールボックスにIMAPやActiveSync等で書き込む時だけだと思われる。

 bcc漏えいについては古くからしばしばメールソフトの欠陥として話題になっており、検索してすぐに見つかるのは2004年のOutlook Express6の漏えい事件になる。この問題は現在でもMicrosoftのサポート情報で確認できる。当時利用者も多く当然のようにビジネスで利用されていたであろうMS製メーラの問題が発生条件含めて適切に情報開示がなされていたというのに、auやdocomoは何を持ってbcc漏えいバグの公表を行わないのか理解に苦しむ。利用者が送信を秘匿する目的で能動的にbcc利用しなければ発生しえない問題を公表することが、どのように第3者から悪用可能になるというのか想像力が足りないようで適当な事例が思いつかない。過去に送信していた利用者が問題を知って混乱を来すとか、bccヘッダ探しが始まって問題が顕在化してしまうことで結果的に利用者が困難な状況に置かれうる、ということを心配するならまだわかる。だが、これは本人が知ろうと知るまいと問題が発覚した以上公表を控える理由にはならない。むしろこの件を公表することでキャリア自身にクレームが大量に向けられる(特に悪意を持ってクレームされる)ことを恐れていると捕えられても仕方ないように思う。

 auがAndroidに本気で未来を賭けるつもりであるなら、今まさに信頼を獲得するチャンスであるはずなのだが、IS01の2.x系対応を「不可能」と言ってしまったり、不具合の隠蔽ともとれる対応をしてしまったりすることは、真逆の方向を向いており大変残念に思う。LYNXとIS01の関係性において実質的にauがdocomoのスケープゴートになってしまっていることも残念に思う。ユーザがAndroidスマートフォンに期待しているのは、OSの継続的なアップデートだけなく、その努力をする姿勢まで含めたものだと思う。海外ではソニエリがXperiaを2.2やマルチタッチに対応させようと努力する方向性を打ち出したり、HTCはスペックの劣る端末にも2.x系アップデートを提供したり、SAMSUNGは可能な限り最新のOSに対応させていくと表明したりと、企業の姿勢がとても強く打ち出されているのにも関わらず、端末メーカーの前に立って本気でAndroidをやるとしているauがこのような対応をしていたのでは、ますます世界との差が開いていくだけになってしまうのではないかと強く危惧する。折角Androidをマーケティング上重要戦略と位置づけてau復活を打ち出しているのだから、国内サービスを利用可能な端末を使うことが、インターネットを利用するには時代遅れで不適切な端末を使うことになってしまわないよう、何をもって顧客サービスとするのか、Androidマーケットにおいて在るべき姿は何か、ぜひとも信頼回復のため見直してもらいたいと思う。

, , ,
とりあえず付けておく無駄ではなかったなまぁまぁ読めたちょっと役に立ったかなかなり良かったかも (まだ評価されていません)
Loading...

■Viberが送信する情報のメモ
 Viberが利用者のアドレス帳情報をサーバに送信して保管するということなので、具体的にどんな内容が送信されているのか、登録から全てパケットキャプチャして確認してみた。暗号化されていたらわからないなと思っていたが、昨日の記事で電話番号が平文で送信されていたのでひょっとしたらと予想した通り、Viberは登録時にほぼ全ての情報をhttpで平文のまま流通させていた。せっかく素晴らしいソフトなのに残念なことだと思う。

 ※こちらの記事はガジェット通信に転載いただきました。

 最新の記事
 Viber 2.1遂に連絡先平文送信を変更
 http://blog.isnext.net/issy/archives/1610

3/15 地震関連でViber検索の結果こちらにたどり着かれる方が多いようなので一部再編集しました。Viber関連は可能な限り以下のリンクを全てご確認いただき、使用するかどうか判断材料としていただければと思います。4/2 暗号化検証記事を追加しました。5/8 他記事を読まずにミスリードされる方がいるので必要と思われる注記を追記しました。

 ・Viber 暗号化対応を示唆 CEOが表明【12/31追記】
  Viber社の情報取扱いの詳細に言及しています
 ・Viber 5つの誓い
  Viber社が会社として守るべきと定めた誓約を紹介しています
 ・Viber v1.1の現状とv2.0のリリース予定
  Viberの問題点の現状と次期リリース版について言及しています
 ・Viber 2.0の暗号化対応は限定的
  Viber 2.0の暗号化対応について検証しました

■キャプチャで判明したこと
・登録で通信するサーバはwa.viber.com
・NYのミッドタウンセンターにあるNetVision社のIP
・Webサーバはngnix Webアプリはphp
・User-Agent: Viber/1.0.95906 CFNetwork/485.12.7 Darwin/10.4.0
・登録時にクライアントから送信される項目
 RegisterUserRequest
 PhoneNumber
 PushToken
 CountryIDDCode
 UDID
 DeviceType
 SystemVersion
 ViberVersion
・アクティベートがOKになるとアドレス帳が送信される
 送信はTCP4244宛て平文
 送信先はAmazon EC2上にあるサーバ
 送信内容は連絡先アプリ内の登録情報全員分
 送信項目は 「姓、名、携帯番号、着信音設定値」
 他の入力項目は送信されていないように見える

 ※当初送信項目を「性、名、携帯番号、着信音設定値」としていましたが、漢字の変換ミスです。iPhoneの連絡先の登録項目には標準では性(性別)という項目はありません。

■所感
 3G接続を前提にしているとはいえ、せめてSSLは利用してもらいたいと思う。アドレス帳を項目は限定されているとは言え、全てネット上に平文で送信するのはどうかと思う。たしかにアプリの設定時にアドレス帳へのアクセスは許可しているが、通常それはアプリケーションがローカルでアクセスすることを想定し、情報がネット上にアップロードされることを許可しているつもりまではないと思われる。仕様上必須なのであれば「アドレス帳のデータをViberサーバにコピーするが構わないか?」という問いかけで許可を得るのが適切だと思う。Viberのサイト上のポリシーにはサーバ上にコピーする旨が明記されているが、アプリをダウンロードして設定するまでの間に、それに気付く機会がないのでは片手落ちだと思われる。Viber自体は非常に優れたアプリケーションだと思うので、告知内容の見直しや、登録時や架電時の通信内容の暗号化はぜひとも対応してもらいたい(※v2.0のリリースにより3月中に暗号化対応される予定)。

 Viberはユーザの意図しないところで、アドレス帳情報を外部送信していると見られても仕方ない状況だと感じる(※v1.1で通知内容が改善されたことで一応の対処はされている)。一般の人は個々の判断でViberをどのように利用するか判断すればいいと思うが、少なくともアドレス帳に入っている友人知人の情報(一部)が、TRUSTe等の比較的信頼のある個人情報保護体制認定プログラムを取得していると明示されていない外国企業に流れていることは自覚しておく必要がある。もしPマーク等の個人情報保護体制認定プログラムの適用事業者に勤務している場合には、業務上利用しているiPhoneにViberはインストールしてはいけない。アドレス帳に取引先や従業員情報が入っていた場合、法人としてViber社と適切な契約状況になければ情報漏えいに該当すると判断される可能性が否定できない。おそらくEU辺りからViber社はいろいろ突っ込みをもらうことになるのではないかと推測する。その改善後には安心して利用できるようになるかもしれないと思う。

Viber社
http://www.viber.com/
Viber社プライバシーポリシー
http://www.viber.com/privacypolicy.html

【12/23追記】
 Viberの情報の取扱いについて以下のblogが12/04に懸念を表明したところViber社のCEO Talmon Marco氏から12/10 16:02のコメントで回答があった。その一部に気になる発言があったのでメモしておく。

 Agmon Dot Com / Privacy 101 or Why You Should Not Use iPhone App Viber
 http://blog.agmon.com/2010/12/04/why-i-will-not-install-viber/

 アドレス帳を送信していることについては、アドレス帳でなく名前と電話番号のみだ(we actually do not send the entire address book, we only send names and phone numbers)と回答している。blogではアドレス帳の全ての詳細が送信されているとしている(They now know practically every detail of your phone book.)ことからこの反論は妥当と思う。正確には着信音設定も送信されているのだが、プライバシー項目に相当しないという観点から述べられていない可能性がある。電話番号と名前をセットで送信している理由としては、Push通知する時に電話番号だけではない方がいいと判断しているから(We send the names associated with the numbers because otherwise we won’t know what to write in the push notification and will have to send something like +12125551212 is calling you. Not good.)だそうだ。これはある程度理解できるが、だとすれば事前告知で適切に説明すべきと思う。

 個人情報が第3者に提供されることについては、パートナーと共有する可能性があること(Yes, we may share information with partners in order to provide the service.)を明確にしているが、例示としてSMS配送会社との共有を出しており(For example, we share your phone number with an SMS delivery company in order to send you a text message.)、規約を修正して明示する(I do believe that we can make this clause clearer. We will fix it.)としている。規約へのより適切な明示は歓迎すべきところではあるが、例示されたSMS配送会社への共有というのは、やや不安感を伴うものであり、Viber社がどのような信頼性評価をするのかわからないが、今後SMS配送会社経由でSMSスパムが送信されてくるかもしれない懸念を感じざるを得ない。第3者提供の可否について個別のオプトアウトを可能にしてもらいたいと思う。(※こちらの後日記事情報が共有される範囲はサービス提供上妥当な範囲であることが確認されています

 通話記録を残していること(their privacy agreement states that they collect and log all your phone calls)については、特別な言及はなかった。ViberではP2Pでの通信が前提なのでiPhoneで3G回線同士で通話する限り通話内容をViberサーバに残すことはできない。サーバに残るのはプライバシーポリシーにはViber ID, phone number, 端末識別コードUDIDとなっている(hese logs contain your internal Viber identification which is a combination of your account identification (i.e., your phone number) and Apple Unique Device Identification (“UDID”) or Android Device ID.)ので、通信事業者?としては妥当なものだと思われる。ただ保存目的や保存期間の明示がないのは残念だと思う。(※こちらの後日記事で保存期間等についても明示されています)

 コメントの最後に、ポジティブなレビューと同じくらい製品とポリシーの改善に役立つから批評について歓迎する(Anyway, we welcome the critiques – they help us improve our product and our policies as much as we are happy about the positive reviews we get.)と書いてある。CEOが直接個人blogにコメント返信するなど、今ではあまり驚くことでもないかもしれないが、真摯に回答がされることはやはり素晴らしいと思う。

 一方、自分で記事を書いてやはり暗号化されてないことが非常に気になったので、12/18にViber社のサポートに暗号化のリクエストを出してみたのだが、受付された旨の表示にはなっているものの12/23現在全く進捗がない。12/17に投稿されている別人からの暗号化通話のリクエストにも何も進展がないように見える。(なぜ自分のリクエスト投稿は公開されていないのか不明、カテゴリが違うのか?)年末が近くもしかしたら既にクリスマス休暇で稼働していない可能性もあるが、CEOの対応はなかなか興味深いのに、通常あるべきサポートのレスポンスが残念に見えてしまう。リクエストへのレスポンスがあったら、またこちらに追記していこうと思う。(※その後Viber社のCEOとコンタクトする機会があり、直接要望を行い対応してもらうことができた。サポートも解決済みステータスに移行した。)

, , ,
とりあえず付けておく無駄ではなかったなまぁまぁ読めたちょっと役に立ったかなかなり良かったかも (2 投票, 平均値/最大値: 5.00 / 5)
Loading...

■Androidでの個人情報漏えい対策2(TaintDroid)
 前回の漏えい対策記事でDroidWallを発展させたパーソナルファイアウォールが望まれるという内容を紹介したが、今回はAndroidが送信している情報をチェックできる方法が提供され始めるようなので、紹介しておく。前回の記事は以下。

 Androidでの個人情報漏えい対策(DroidWall)
 http://blog.isnext.net/issy/archives/339

■Androidの通信をダンプ可能なTaintDroid
 コンテンツファイアウォールを制作するための基礎技術となる通信のダンプだが、これまでのところそれを可能にしユーザに見やすくする方法が提供されていなかったようだ。今回公表されたTaintDroidはAndroidアプリが行った通信をチェックし通知バーからその内容を確認できる手段を提供する。具体的な動作は以下のページのDemo動画で確認できる。

 TaintDroid
 http://appanalysis.org/index.html
 http://appanalysis.org/demo/index.html

 通信内容にIMEIや個人情報が含まれているかどうか目視で確認できるので、非常にわかりやすい。これを導入すれば新しいアプリを導入した際に、起動時等に行われた通信をチェックし不正な振る舞いがされていないか、ある程度の知識があれば確認することが可能になる。もちろん、これをベースにより個人情報を発見しやすくしたり、フィルターやマスクを行うセキュリティアプリケーションの開発登場も期待できると思われる。

 残念ながらこのTanitDroidは単体アプリとしては提供されず(Androidの動作上の制限のため)、TaintDroidを組み込んだカスタムROMの形で提供されることになるらしい。TaintDroidは近くソースコードが公開されるということなので、CyanogenModなどの有名どころが採用する可能性は高いと思われる。できればこのような仕組みはiPhoneとの差別化という観点からもAndroidの標準機能として実装し、セキュリティ懸念への対策として有効に活用できるようにしてもらいたい。TaintDroidはAndroidのユーザがセキュリティ意識を大きく向上させうるかもしれない期待に満ちた実装だと思うので、ぜひ今後の動向に注目したい。

, ,
とりあえず付けておく無駄ではなかったなまぁまぁ読めたちょっと役に立ったかなかなり良かったかも (まだ評価されていません)
Loading...

■Androidウイルス対策
 初のAndroid向けウイルスが発見されたということで、現在できることで一応効果がありそうな対策を考えてみる。十分予見されていたAndroidウイルスの出現ではあるので、以前取り上げたように基本的なアンチウイルスソフトは複数製品として存在しており、これらを導入することはもちろん効果的だと思われる。しかしアンチウイルスソフトはウイルスデータが更新されるまでは後手になるケースが多いので、今回のウイルスの挙動から利用できそうな対策ソフトを検討してみる。

Android向けアンチウイルスソフトのまとめ記事は以下。
http://blog.isnext.net/issy/archives/276

1)SMSの挙動を確認する
 今回のウイルスはトロイの木馬タイプで別アプリに潜んでAndroid端末に進入し、SMSを勝手に送りまくるというものだそうだ。ということで、SMSを送信する場合必ずユーザが送信確認を行うソフトがないか調べてみた。…が、残念ながら後述する電話発信の確認を行うソフトはあったが、SMSの発信確認ができるソフトはちょっと検索した程度では見つからなかった。SMSソフト自体は多数存在するので、標準のSMSをアンインストールして置き換えることで、勝手送信を防ぐことが可能なパターンは存在するかもしれない。ただSMSはキャリアの仕様等で動作の互換性に問題が発生するケースも多いので、SMSの入れ替えで安定した環境を構築するのは多少困難が予想される。

 そこでSMSの発信確認ができないのであれば、せめてSMSの送信量を規制したり状況確認を行うことができないものかと探したところ以下のアプリが該当するようだ。

Credit Alarm $1.67
http://www.cyrket.com/p/android/com.cellcrowd.creditalarm/

Credit Alarmは通信料金が超過してしまわないように、設定した値になると通話やSMS利用を制限してくれるアプリ。これを設定しておけばウイルスにSMSや電話を勝手に発信されても一定量で抑えることが期待できる。

Data Tracker 無料
http://www.cyrket.com/p/android/com.fvd.datatracker/

Data Trackerは通話及びSMS送信量のチェックを可能にするアプリ。テザリングの通信等は対象外のようだが、これで記憶にない通話やSMS送受信データが著しく増加していたりする場合にはウイルス感染などを疑うことが可能になる。

2)通話発信を規制する
 古くから感染したウイルスが国際電話や有料課金電話番号に勝手に発信するという事例がある。Android端末も多くが3G携帯電話として利用されているので、遠からずこうしたウイルスが出てくることは想像に難くない。そこで、電話発信をする場合必ずユーザの発信確認を必要とするソフトをインストールしておくことで対策とする。

Call Confirm 無料
http://www.cyrket.com/p/android/net.nanabit.callconfirm/

 Call Confirmは電話発信する際に必ず「本当に発信しますか?」という確認ダイアログを出して確認ボタンを押すことで初めて発信が可能になるというアプリ。うっかり操作の防止のために導入したのだが、アプリによっては稀に操作中に自動発信してしまうものがあり、そういう挙動を防ぐのにも重宝している。これをインストールすることで勝手な国際電話発信等の防止を期待できる。日本語対応。

3)アプリの勝手なデータ送信を規制する
 こちらは先日個人情報漏えい関係で記事にしたので、そちらを参照。

Androidでの個人情報漏えい対策
http://blog.isnext.net/issy/archives/339

おそらくまだできることはあると思われるが、それはまた思いついた時に追記したい。
先日調べた時にも思ったがAndroidアプリの市場では、端末から外部へ情報が出ていく方向への対策が非常に不足しており、PCとほぼかわらないOSであるにも関わらず、ビジネスとしてセキュリティに関して取り組んでいる開発者が多くないように感じる。アンチウイルスソフトの開発企業ですらウイルスそのものの対策と紛失対策が主たるターゲットであり、パーソナルファイアウォールやコンテンツフィルタ等の開発はまだされていないように見える。今回のウイルスの発見でAndroidにもPCと同様の本格的なセキュリティ対策が望まれてくると思うので、セキュリティベンダにはぜひ期待をしたい。

Androidのユーザ側で短期的に自衛できる手段としては、UTMを積極的に導入しUTM配下のネットワーク経由でアクセスするか、3G接続時もUTMにVPN接続した上でネットワーク利用するなどの方法が考えられる。バッテリー等の問題もあるので最適な解決方法とは言えないが、端末に余計なソフトをゴテゴテ入れなくても比較的安全に利用する手段のひとつとして検討には値すると思われる。個人でも導入可能な無償UTMのリストは以下。

無償利用可能なUTM(Security Gateway)製品リスト
http://blog.isnext.net/issy/archives/218

,
とりあえず付けておく無駄ではなかったなまぁまぁ読めたちょっと役に立ったかなかなり良かったかも (まだ評価されていません)
Loading...