続・続・国産ブラウザアプリSmoozはあなたの閲覧情報をすべて外部送信している

この記事は過去2回にわたる検証記事の続きとなります。

国産ブラウザアプリSmoozはあなたの閲覧情報をすべて外部送信している

続・国産ブラウザアプリSmoozはあなたの閲覧情報をすべて外部送信している

前回の記事では、おすすめ記事機能を有効にしていると、Smoozがユーザーの閲覧しているURL情報を送信してしまうことについて解説しました。
ユーザーID、URLと共に送信されているbc、bt、bdという項目の内容がわからないままでしたが、これもユーザーの情報であるはずだと思い、調査を続けてきました。

▼これがおすすめ記事のために送信される内容

(この内容は記事の最後にテキスト情報としても掲載しておきます)

URL情報に関連するもので 『c、t、d』 と呼ばれそうなものは何か。

・cのデータ量は飛び抜けて多い
・cとdは一致が見られることがある
・一部が一致しながらもcのほうが長かったりもする
・dは空のこともある

これにURLとセットになって送られるという点を踏まえ、Contents、Title、Descriptionではないかと仮定をしてみました。
それを確かめるため、サーバーに次のようなシンプルなHTMLファイルを作成。


<html>
<head>
<title>無印良品</title>
</head>
<body>
<h1>カレー食べたいので作ろうと思ったけど、牛肉がなかった</h1>
</body>
</html>

これに対してSmoozでアクセスした際、おすすめ記事をオンにしておくと、どのような通信が発生するのかを観察しました。

▼上記HTMLアクセスで ml.api.smoozapp.com へ発生した送信内容


ユーザーID、URLと共にbtとbcが送られています。
次にタイトルと本文を入れ替えたときの通信を比較してみます。

▼タイトルと本文を入れ替えて通信内容を比較

すると、btとbcの内容も綺麗に入れ替わっていたことから、btはタイトル(Title)bcは本文(Contents)だということが確認できました。
同様にしてbdは説明文(Description)であることを確認。

そして、ページ下部に追加されたおすすめ記事には『無印良品』『カレー』に関連するものが提示されていました。

 

文字列の復号

当初暗号化されているものと思っていた、bc、bt、bdですが、実際には暗号化されておらず単なるBase64でのエンコードでした。
ツールによってはデコードエラーになる文字が混ざっていたので混乱しましたが、iOSショートカットアプリでは素直に復号することができています。

実際にどのような内容が送信されていたのかを見てみましょう。
ml.api.smoozapp.com への通信内容からbcとして送信された文字列を、ショートカットアプリを用いて復号した際の動画です。

復号したbcの内容は以下の通り。

Smoozには前回の記事で詳しく紹介しきれなかった機能があります。 それがおすすめ記事というものです。 これが…ホーム > 未分類 > 続・国産ブラウザアプリSmoozはあなたの閲覧情報をすべて外部送信している Smoozには前回の記事で詳しく紹介しきれなかった機能があります。それがおすすめ記事というものです。これがオンになっていると、閲覧しているサイトの末尾に、アスツール社の提示するおすすめ記事と広告が付け加えられるものです。ページの一番下までスクロールしないと出てこないので気付いてない人もいるかと思います。この機能を有効にして、うちのサイトを表示すると下のようになります。▼おすすめ記事私のコンテンツは黒線の上まで。その下からが本来のページには存在しないSmoozの付け足したコンテンツになります。Gigazineの記事や広告が並んでいるのがわかるはずです。これについて通信内容を解析してみると、 ml.api.smoozapp.com に対しての通信が該当していることがわかります。▼ml.api.smoozapp.com/recommend/pagesとあるので、おすすめ記事のことだとわかりやすいですね。▼通信内容私のiPhoneから ml.api.smoozapp.com に対して

この例では閲覧していた記事の本文が556文字分送信されていました。
またbt、bdについても以下の画像の通り復号できています。

▼bt、bdの復号

 

アクセスの制限

SmoozがユーザーIDとURLを送っているだけでなく、サイトに表示される内容まで送信している証拠が固まりました。

ではこれがログイン認証を要求するサイトの場合はどうなるでしょうか。
先ほどのHTMLファイルを、ファイル名と内容を変えて設置し、Basic認証をかけて実験をしてみました。
今度はタイトルに『コストコ』本文に『セブンイレブン おすすめスイーツ』と書いてあります。

ログインしてページを表示。下にスクロールするとSmoozの追加したおすすめ記事が現れてきます。

それがこの画像。

みごとにコストコとセブンイレブンの記事が並んでいますね。

もう一度書きますが、このHTMLファイルにアクセスするためにはIDとパスワードでログインが必要です。念のためサーバーのアクセスログを確認しましたが、自分のIPアドレス以外から当該ファイルへのアクセスはありませんでした。
何が起きているかわかりますよね。
パスワードで保護されたサイトであっても、見ている内容をブラウザが外部送信しているのです。

仮説と検証を繰り返して、ほぼ間違いないところまでたどり着きました。しかしあまりにも影響が大きすぎる問題なので、さらに検証を重ねます。
Twitterで協力をお願いして、同様の検証をしてもらったところ、その方のiPhoneでも私の想定と一致する結果が得られました。

複数の環境で同じ結果が得られています。もう覆らないでしょう。
当初はSmoozがURLをアスツール社のサーバーへと送信して、アスツール社のサーバーがその内容を判断しておすすめ記事を提案しているのだと思っていました。
だけど、認証が必要なページでも適切なおすすめ記事が出てくるわけです。ブラウザが内容を送信していただなんて考えにくい結論ですが、そう解釈するほかにありません。

お手伝いいただいた方に、大学の学生用のページにログインした際の画像も提供していただきました。

この画像が影響の大きさをすべて物語っています。

送信内容のうち、塗りつぶしてある箇所には氏名履修講義名が書かれていたことが確認されています。またSmoozによって追加されたおすすめ記事には学校関連のものが選ばれているのもわかるはずです。

Smoozのおすすめ記事機能がオンになっていると、サービス利用データの提供をオフにしていても、以下の情報がアスツール社のサーバーへと送信されています。

・閲覧しているページのタイトル(bt)
・閲覧しているページの本文の一部(bc)
・閲覧しているページの説明文(bd)
・ユーザーID(user_id)
・閲覧しているページのURL(url)

どこのページを見ているかだけでなく、その内容までをも送信しています。認証を要求するサイトであっても関係ありません。

いますぐSmoozのおすすめ記事はオフにしましょう。

 

おわりに

先日、Smoozのユーザーだった方からDMが来ました。

「学校のマイページにログインしたことがあるのだけれど、成績などは漏れていないだろうか」という、不安をにじませるご相談でした。
私はそれに対して「ページのアドレスが送信されるだけで、見ている情報が漏れるわけではないので安心してください」と答えてしまった。そんなことがあるはずがないという先入観を捨てきれなかった私の間違いでした。申し訳ないです。

アスツール社は、自社のサーバーに対して送信しているすべての情報の取り扱いについて、過去も含めて詳細な説明をしなくてはいけない。
許可を取れば外部送信してもいいレベルなんてものを明確に超えている。

一部では通信の秘密を侵害しているのではないかという指摘もあるが、そのあたりは門外漢であるため専門家にお任せをしたい。

上記の内容は、Smooz ver.1.109.4での検証内容となります。
12月20日になって問題を修正したver.1.110.0のリリースされましたが、軽く確認した範囲ではサービス利用データの提供がオフの場合の挙動は改善されています。

しかし、サービス利用データの提供とおすすめ記事がオンの場合には、この記事で解説した内容はいまだにすべて送信されています。
これはユーザー情報の取り扱いについての指摘を受け、再度見直した上での状態なわけですから、彼らは許可さえ取っていれば見ているページの内容を外部送信してもかまわないと考えたようです。

Smoozを使って学校や病院、社内のシステム、銀行など、重要な情報へアクセスすると外部送信される懸念はいまだ残ったままです。

投げ銭できるようにしておいてほしいと要望があったのでAmazonのほしいものリストを貼っておきます。
ギフト券しか登録していませんが、スパチャ投げたい方はよろしくお願いします。
https://www.amazon.jp/hz/wishlist/ls/2R1SH5KP4HAQY

【お詫び】
今回の検証を準備するさいに、設定を誤り、サイト全体にアクセスできなくなる時間が短時間発生しました。
また、サイトの記事全体にアクセス制限がかかってしまい、記事を読もうとするとログイン・登録フォームが表示されるミスも18日の20:30~21:30に発生してしまいました。
管理者としてログインした状態だったため、表示の制限がかかっていることに気付くことができず、発見が遅れてしまいました。申し訳ありません。

その間、記事を読むために登録してくださった方のアカウント情報は責任をもって削除を完了しております。

 

今日の音楽

アメリカの6人組ロックバンドPortugal. The Man

変わった名前だが、バンド名のポルトガルは思いつきで、特にルーツがあるわけでもないらしい。

初めて聴く人はその声に驚くことだろう。
女性にしか思えないほどの高い声で髭面の男が歌い上げる様は、まるで口パクでボーカルが別に居るんじゃないかと疑うほどだ。

この曲は2018年のグラミー賞 最優秀ポップ・デュオ/グループ・パフォーマンス賞を獲得した彼らの代表曲。

Portugal. The Man – Feel It Still (Live Stripped Down Session)

日本ではまだあまり知名度の高くないグループだが、ぜひ聴いてほしい。
しかしキーボードの彼が来ている『ニチイ 高田』と書かれたユニフォームが気になって仕方ない・・・・・・。(1:03くらいに映る)

他の楽曲も良いので、名前を覚えてくださいね。

Portugal. The Man – Live In The Moment

 

Charles Proxyで取得した通信内容

“bc”:
“U21vb3rjgavjga\/liY3lm57jga7oqJjkuovjgafoqbPjgZfjgY\/ntLnku4vjgZfjgY3jgozjgarjgYvjgaPjgZ\/mqZ\/og73jgYzjgYLjgorjgb7jgZnjgIIg44Gd44KM44GM44GK44GZ44GZ44KB6KiY5LqL44Go44GE44GG44KC44Gu44Gn44GZ44CCIOOBk+OCjOOBjOKApuODm+ODvOODoCAmZ3Q7IOacquWIhumhniAmZ3Q7IOe2muODu+WbveeUo+ODluODqeOCpuOCtuOCouODl+ODqlNtb29644Gv44GC44Gq44Gf44Gu6Zay6Kan5oOF5aCx44KS44GZ44G544Gm5aSW6YOo6YCB5L+h44GX44Gm44GE44KLIFNtb29644Gr44Gv5YmN5Zue44Gu6KiY5LqL44Gn6Kmz44GX44GP57S55LuL44GX44GN44KM44Gq44GL44Gj44Gf5qmf6IO944GM44GC44KK44G+44GZ44CC44Gd44KM44GM44GK44GZ44GZ44KB6KiY5LqL44Go44GE44GG44KC44Gu44Gn44GZ44CC44GT44KM44GM44Kq44Oz44Gr44Gq44Gj44Gm44GE44KL44Go44CB6Zay6Kan44GX44Gm44GE44KL44K144Kk44OI44Gu5pyr5bC+44Gr44CB44Ki44K544OE44O844Or56S+44Gu5o+Q56S644GZ44KL44GK44GZ44GZ44KB6KiY5LqL44Go5bqD5ZGK44GM5LuY44GR5Yqg44GI44KJ44KM44KL44KC44Gu44Gn44GZ44CC44Oa44O844K444Gu5LiA55Wq5LiL44G+44Gn44K544Kv44Ot44O844Or44GX44Gq44GE44Go5Ye644Gm44GT44Gq44GE44Gu44Gn5rCX5LuY44GE44Gm44Gq44GE5Lq644KC44GE44KL44GL44Go5oCd44GE44G+44GZ44CC44GT44Gu5qmf6IO944KS5pyJ5Yq544Gr44GX44Gm44CB44GG44Gh44Gu44K144Kk44OI44KS6KGo56S644GZ44KL44Go5LiL44Gu44KI44GG44Gr44Gq44KK44G+44GZ44CC4pa844GK44GZ44GZ44KB6KiY5LqL56eB44Gu44Kz44Oz44OG44Oz44OE44Gv6buS57ea44Gu5LiK44G+44Gn44CC44Gd44Gu5LiL44GL44KJ44GM5pys5p2l44Gu44Oa44O844K444Gr44Gv5a2Y5Zyo44GX44Gq44GEU21vb3rjga7ku5jjgZHotrPjgZfjgZ\/jgrPjg7Pjg4bjg7Pjg4Tjgavjgarjgorjgb7jgZnjgIJHaWdhemluZeOBruiomOS6i+OChOW6g+WRiuOBjOS4puOCk+OBp+OBhOOCi+OBruOBjOOCj+OBi+OCi+OBr+OBmuOBp+OBmeOAguOBk+OCjOOBq+OBpOOBhOOBpumAmuS\/oeWGheWuueOCkuino+aekOOBl+OBpuOBv+OCi+OBqOOAgSBtbC5hcGkuc21vb3phcHAuY29tIOOBq+WvvuOBl+OBpuOBrumAmuS\/oeOBjOipsuW9k+OBl+OBpuOBhOOCi+OBk+OBqOOBjOOCj+OBi+OCiuOBvuOBmeOAguKWvG1sLmFwaS5zbW9vemFwcC5jb20vcmVjb21tZW5kL3BhZ2Vz44Go44GC44KL44Gu44Gn44CB44GK44GZ44GZ44KB6KiY5LqL44Gu44GT44Go44Gg44Go44KP44GL44KK44KE44GZ44GE44Gn44GZ44Gt44CC4pa86YCa5L+h5YaF5a6556eB44GuaVBob25l44GL44KJIG1sLmFwaS5zbW9vemFwcC5jb20g44Gr5a++44GX44Gm”,

“user_id”: xxxxxxx,

“bt”: “57aa44O75Zu955Sj44OW44Op44Km44K244Ki44OX44OqU21vb3rjga\/jgYLjgarjgZ\/jga7plrLopqfmg4XloLHjgpLjgZnjgbnjgablpJbpg6jpgIHkv6HjgZfjgabjgYTjgosgfCByZWxpcGhvbmUgKGZvciBpUGhvbmUp”,

“url”: “https:\/\/reliphone.jp\/post-16247\/”,

“bd”: “U21vb3rjgavjga\/liY3lm57jga7oqJjkuovjgafoqbPjgZfjgY\/ntLnku4vjgZfjgY3jgozjgarjgYvjgaPjgZ\/mqZ\/og73jgYzjgYLjgorjgb7jgZnjgIIg44Gd44KM44GM44GK44GZ44GZ44KB6KiY5LqL44Go44GE44GG44KC44Gu44Gn44GZ44CCIOOBk+OCjOOBjOKApg==”

36 COMMENTS

aaa

これオンラインバンキング使ってたらページの構成によっては口座番号とか残高とか入金出勤の摘要とかも送信されてたんじゃ

返信する
匿名

SSL(HTTPS)で暗号化しててもブラウザで表示できるのならブラウザメーカーは情報を抜ける
あとは言わなくてもわかるな?

返信する
匿名

いままで聞いたことないこんなとこがページ内容まるまる飛ばす仕様になってるなら
有名なアプリだったら暗号化してばれないようにしてやってるかもなあ

返信する
tono

いつも興味深く拝読させて頂いております。
今回のSmoozに関する一連の記事、ショックでした。私はSmoozが出たての、起動即クラッシュ、などという状態も珍しくなかった頃から使用、βテスターもしております。貴殿のようなデータに裏づけられたテストなどするスキルもなしに漫然と感覚的な“使用感”などを「テスト」していました。
このような状況のまま長年使い続け、ましてやテスターとしての役割すら何も果たしていなかったと、後悔と不安でいっぱいです。願わくばこれらの不祥事が悪意の元でなく行われてしまったものであることを、そして今会社側にある全ての該当データが安全な形で削除されることを願うばかりです。

返信する
匿名

痒いところに手が届くような使いやすいブラウザだったのでとてもショックです。
データ提供オフ、検索エンジンも通常のGoogleで使用してましたがしばらく利用は控えてみます。
改善されることを祈っています。

返信する
匿名

あ、ヤバいわこれ問答無用で使うなってなるやつや
やめといてよかった
でもこんなもんリリースしてアプデで毎度ユーザー様のこと考えてます!アピールしてくるこの会社って何もんなん?

返信する
匿名

今回の記事には関係ありませんが、Twitterの方でいつの間にか管理人さまからのフォローが解除されていて残念でした。

返信する
匿名

× いますぐSmoozのおすすめ記事はオフにしましょう

○ いますぐSmoozをアンインストールし、警察と総務省と河野太郎大臣(総務省が無能な可能性があるため)に通報・相談し、AppleやGoogleにも通報しましょう。

返信する
匿名

有用な記事をありがとうございます。
Appleのアプリ審査って厳しいのかなと勝手に思ってたんですが、sandboxで不正な通信がないか確認したりするとかはやってなかったんですね。
この仕様じゃ悪意がなかったとは残念ですが信じられないですね。

返信する
匿名

いやー…さっき仕事終わってブラウザ開いたら「使用を中止してください」とか出てきたからビックリして慌てて調べたら、想像以上にヤバかった…。
つい最近他のブラウザからsmoozに切り替えて普通に預金口座の情報とか見てたんだが…。最悪や。。。

この記事を書いて検証して公開してくれた主さんは物凄くたくさんのユーザーを救ってくれたと思う。本当にありがとう御座います。

返信する
匿名

管理人様に感謝。
使いやすくていいブラウザではあったんですけどね…
警告出るまでがっつり使ってたんで助かってない気はしますが(汗)助かりました。ありがとうございます。

返信する
匿名

ほんとに教えてくれてありがとうございます…。私も警告が出るまで使っていた為不安で仕方ないです。
おすすめ記事機能はオフにしていたけれど、データ提供はポイント欲しさにオンのままでした。smoozでログインしていたのがTwitterぐらいなので即パスワード変更します。

返信する
匿名

結構愛用してたので残念です。ひどいですね(>_<)
気づいて検証して公表して下さった主様には本当に感謝です。

返信する
匿名

本当ショックです。
何年も完全にメインで使っていたので、ID、パスワード、クレカの番号などのデータ、ぷらいべったーでの内容全て抜かれていると思います。気持ちが悪すぎて吐き気がします。。
他のアプリにブックマーク移行するだけで4時間かかはりました…
もう二度とこのアプリと作成者には関わりたくありません。

ちなみにですが、brave(ブラウザアプリ)や、Firefoxは安全なのでしょうか?

返信する
匿名

検証なく安全とは言えませんが、普通はありえないのでFirefoxなんかは信じていいと思いますよ。本件は異常。っていうか詐欺や犯罪の類

返信する
匿名

自分で調べて確認するという意識を持たない限り、何度でも同じように搾取されますよ。「ここの人が大丈夫と言っていたから安心だ」では本質的には何も変わっていない。
前の記事で通信内容を把握できるアプリなどをわざわざ紹介してくれています。これを機に自己防衛する手段を少しでも身につけてみてはいかがでしょう?

返信する
匿名

たぶんやけど、IOS版で直前に使ってたアプリのスクショを
Smoozに切り替えた瞬間に送信してたと思う
Smoozに切り替えたタイミングでスクショ撮ったときのような
画面が小さくなって飛んで行ってたので

返信する
匿名

smooz 利用停止のアラート出なくなった・・・。これは問題が修正させたって事?

返信する
あああ

これは動悸が早くなって手が震えるレベル…

これで問題ないと思っているのが信じられない。

返信する
匿名

VPN機能があって気軽にプライバシーを守れると思って使ってたのに、それ以上にとんでもない事をしてたのか!

返信する
匿名

さっさとサービス終了かよ。
今まで収集してた個人情報、「消した」で信じられるわけねーだろ。
これって何かの罪で関係者全員処罰とか出来ないんですかね…。
めっちゃ腹立つ。

返信する
匿名

昨年までこのアプリ使ってました。
iPhoneからAndroidに変えたタイミングでポイント制(所謂出会い系)サイトから勝手にポイントが減るので、パスワード変えてこのアプリ止めたら被害がなくなりました。
こういうことだったんですね。

返信する
新島縄惑

サービス終了が勝利なわけないんだよなあ
求めているのは詳細な説明であって炎上したからそそくさと撤退されて風化されて終わりになっちゃうだけなんだよなあ

返信する
新島縄惑

サイトの欄って何を書けばいいのかわからないからここのURLいれたました…何かまずかったかもしれないので誰か教えて

返信する

コメントを残す