「Simeji」の入力ログ無断送信は「実装バグ」 バイドゥ、IMEログ収集の意図を説明(ITmediaニュース)
http://www.itmedia.co.jp/news/articles/1312/26/news071.html
このニュースを見るまでもなく、思うこととしては、「オプトインがあればどんなデータも収集していいのか?」ということと、「そもそもIMEの入力内容をサーバに送信していたら、それはキーロガー(マルウェア)そのものではないか?なぜそれを許すのか?」ということですね。
↑この画面はAndroidでIMEを選択しようとすると表示される警告です。「すべての入力内容の収集をアプリ(アプリ名)に許可することになります。これにはパスワードやクレジットカード番号等の個人情報も含まれます。この入力方法を使用しますか?」と出てくるわけですが、普通に考えたらそんなもの許可できるわけないだろって話ですよね。でも、この警告はどのIMEを選んでも出るわけで、許可しなかったらIMEは使えませんから、まあ危険を承知で許可するしかないわけですね。
これが、もしオプトインにあたるのだとすれば、そもそもAndroidで動作するすべてのIMEはいかなる入力内容を収集しても問題ない、ということになってしまいますよね。
それっておかしくないですか?という疑問がまずあります。
いや、というよりも以前の問題として、「なんでAndroidはIMEの入力内容の送信を許諾しているの?」ということがあります。入力内容に対する候補をクラウドで検索するためとか、入力内容の統計を変換精度の改善に活かすためとか、大義名分があるのはわかります。でも、入力内容をなんらかの形で外部に送信していたら、それってキーロガーになるわけですよね。送り出されたデータが、延々と集積されているか、その場で破棄されているかなんて、ユーザーには知る由もないわけです。
AndroidはOSとしてそのソフトがIMEなのかどうかを識別できる仕組みを持っているはずです。だからこそ設定画面のIME一覧にそのソフトが出てくるわけですね。つまりその気になればIMEに識別されるソフトに対してはネットワーク通信を許可しない(キツすぎるというなら送信はNGで受信だけ許可するとかね)こともGoogleは可能なはずなんです。Google Playに上げる時点で、パーミッションをチェックして弾けばそれでオシマイなはずです。
でも、それをしないということは、何を意味するのか・・・。
Google日本語入力は入力内容を送信していないそうですが、だったらなおさら、許可は必要ないでしょうという気もします。
まあ、なんで営利企業が作っているソフトが無償で提供されるのか。それはソフトの価格以外のところで価値を生み出せればいいわけですよね。たとえばそれはアプリ内広告だったり、たとえばそれはユーザーの入力内容だったりするわけですよね。
それをいったらTwitterとかfacebookとかも同じことになるんですけど。ただこちらは入力する内容をユーザー側がある程度コントロールできますからね。クレジットカード番号やパスワードや公に知られたくない相手へのメッセージとか(笑)そういうものはこちらがコントロールして流さないようにすればよいですが、IMEからまるごと入力内容をぶっこ抜かれているとしたらそうはいかないですよね。
無料で使わせてやってるんだからそのくらいのトレードオフは覚悟しろよ、っていうのが現代のネットの裏側にあるのかもしれないですね。
【追記】
この問題について詳しくまとめているサイトがありましたので、ご参考までにリンクを追記いたします。
Baidu IMEとSimejiの情報送信問題についてまとめてみた。 - piyolog
bit.ly/19vTWrl
http://www.itmedia.co.jp/news/articles/1312/26/news071.html
このニュースを見るまでもなく、思うこととしては、「オプトインがあればどんなデータも収集していいのか?」ということと、「そもそもIMEの入力内容をサーバに送信していたら、それはキーロガー(マルウェア)そのものではないか?なぜそれを許すのか?」ということですね。
↑この画面はAndroidでIMEを選択しようとすると表示される警告です。「すべての入力内容の収集をアプリ(アプリ名)に許可することになります。これにはパスワードやクレジットカード番号等の個人情報も含まれます。この入力方法を使用しますか?」と出てくるわけですが、普通に考えたらそんなもの許可できるわけないだろって話ですよね。でも、この警告はどのIMEを選んでも出るわけで、許可しなかったらIMEは使えませんから、まあ危険を承知で許可するしかないわけですね。
これが、もしオプトインにあたるのだとすれば、そもそもAndroidで動作するすべてのIMEはいかなる入力内容を収集しても問題ない、ということになってしまいますよね。
それっておかしくないですか?という疑問がまずあります。
いや、というよりも以前の問題として、「なんでAndroidはIMEの入力内容の送信を許諾しているの?」ということがあります。入力内容に対する候補をクラウドで検索するためとか、入力内容の統計を変換精度の改善に活かすためとか、大義名分があるのはわかります。でも、入力内容をなんらかの形で外部に送信していたら、それってキーロガーになるわけですよね。送り出されたデータが、延々と集積されているか、その場で破棄されているかなんて、ユーザーには知る由もないわけです。
AndroidはOSとしてそのソフトがIMEなのかどうかを識別できる仕組みを持っているはずです。だからこそ設定画面のIME一覧にそのソフトが出てくるわけですね。つまりその気になればIMEに識別されるソフトに対してはネットワーク通信を許可しない(キツすぎるというなら送信はNGで受信だけ許可するとかね)こともGoogleは可能なはずなんです。Google Playに上げる時点で、パーミッションをチェックして弾けばそれでオシマイなはずです。
でも、それをしないということは、何を意味するのか・・・。
Google日本語入力は入力内容を送信していないそうですが、だったらなおさら、許可は必要ないでしょうという気もします。
まあ、なんで営利企業が作っているソフトが無償で提供されるのか。それはソフトの価格以外のところで価値を生み出せればいいわけですよね。たとえばそれはアプリ内広告だったり、たとえばそれはユーザーの入力内容だったりするわけですよね。
それをいったらTwitterとかfacebookとかも同じことになるんですけど。ただこちらは入力する内容をユーザー側がある程度コントロールできますからね。クレジットカード番号やパスワードや公に知られたくない相手へのメッセージとか(笑)そういうものはこちらがコントロールして流さないようにすればよいですが、IMEからまるごと入力内容をぶっこ抜かれているとしたらそうはいかないですよね。
無料で使わせてやってるんだからそのくらいのトレードオフは覚悟しろよ、っていうのが現代のネットの裏側にあるのかもしれないですね。
【追記】
この問題について詳しくまとめているサイトがありましたので、ご参考までにリンクを追記いたします。
Baidu IMEとSimejiの情報送信問題についてまとめてみた。 - piyolog
bit.ly/19vTWrl
コメント
コメントを投稿