パスワードを忘れた? アカウント作成
13697053 story
プライバシ

無断で位置情報を収集していたデンソーウェーブの「公式QRコードリーダー」、収集した情報の提供を中止 105

ストーリー by hylom
アプリは基本信頼するな 部門より
あるAnonymous Coward曰く、

「公式」QRコードリーダーを使うと読み取り時の位置情報がQRコード作成者に提供される』という話が話題となっていたが(Yahoo!ニュース)、デンソーウェーブがこの機能で収集したQRコード利用者のIPアドレスと位置情報を提供するサービスを中止すると発表した(日経xTECH)。

「QRコードリーダーの利用者への説明が不足し、さらにサーバー側で不必要なデータを収集していた」という理由での中止だそうだ。

利用者に無断で位置情報と時刻、IPアドレスなどの情報を送信していることに加えて、ユーザーには認識できないデータをQRコードに埋め込んでその情報を送信させていることも指摘されている。

なお、今回中止となったのはあくまでIPアドレスと位置情報の提供のみで、これら情報の収集についてはまだ行われているようだ。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by akiraani (24305) on 2018年08月29日 20時44分 (#3470771) 日記

    どっかで聞いた覚えのある話だと思ったら、これだった。
    ひろみちゅ先生による検証 [togetter.com]

    日経のが有料記事でどういうことになって居るかよ靴かかめなかったんだけど、一回つっこまれて、位置情報は埋め込まないように変更してお茶を濁そうとするも、IP抜いてる時点でダメだろうってことでごまかしきれなくてサービス中止に至った、という感じだろうかねこれ。

    • by Anonymous Coward

      撤回にまで至ったのは、ひろみちゅ先生の仕事が大きかったと思う。
      なんかスラド編集者が非難されてるけど、あのタレコミだけで真偽を判断するのはちょっと無理だろ。

  • by nnnhhh (47970) on 2018年08月29日 19時19分 (#3470704) 日記

    インストール時に位置情報アクセス権限とかとってるんだろうが、そこでOK押してんじゃんってのは通らないんだろうな

    送信前に送る内容を出して許可取ればモメなかった?

    • by Anonymous Coward on 2018年08月29日 20時16分 (#3470753)

      位置情報のアクセス権限の取得画面では「for create Location QR Code」とユーザに説明していた
      https://twitter.com/HiromitsuTakagi/status/1033873013274341376 [twitter.com]

      ところが、実際には for create Location QR Code という目的だけでなく、
      QRコードをスキャンした場所の位置情報を送信し、更には匿名化もせずにIPアドレスなども含めて第三者提供もしていた

      メールで問い合わせても、「地図のQRコードの読取り、作成」に使うような回答をしていた。
      https://twitter.com/yuhkan/status/1033938991853199361 [twitter.com]

      Google Playのユーザレビューでも虚偽説明
      https://twitter.com/HiromitsuTakagi/status/1034647201614446592 [twitter.com]

      更には、ユーザに隠して秘匿データを処理することに対して、特許まで取得している
      「秘匿データコードのデコードデータに相当するものが画面表示されないので、利用者に秘匿データの存在を認識させることがなく、当該利用者に対して不信感を与えたり、解読を試みようとする不用意な動機を与えることがな
      い。」
      https://twitter.com/HiromitsuTakagi/status/1034589905521860608 [twitter.com]

      親コメント
      • by Anonymous Coward

        「利用者に秘匿データの存在を認識させることがなく、当該利用者に対して不信感を与えたり、解読を試みようとする不用意な動機をえることがない。」

        完全に不正指令電磁的記録ですわ。法律に抵触するようなものでも特許って取れるんだっけ?

        • by Anonymous Coward

          武器や兵器の特許もとれるよ

    • スマホに入ってたので動かしてみた
      起動するだけで位置情報権限要求されますね
      今言われるってことは今まで使ったときも許可しなかったのかな俺
      なおコイツ読取りちょっぱやいですね

      親コメント
      • by Anonymous Coward on 2018年08月30日 10時51分 (#3471100)

        位置情報どころの騒ぎじゃないけれどね。

        このアプリには次の権限が必要です:
        コンタクト

                read your contacts

        位置情報

                approximate location (network-based)
                precise location (GPS and network-based)

        写真、メディア、ファイル

                read the contents of your USB storage
                modify or delete the contents of your USB storage

        ストレージ

                read the contents of your USB storage
                modify or delete the contents of your USB storage

        カメラ

                take pictures and videos

        Wi-Fi 接続情報

                view Wi-Fi connections

        モバイル端末

                read call log

        その他

                receive data from Internet
                view network connections
                connect and disconnect from Wi-Fi
                full network access
                run at startup
                control vibration
                prevent device from sleeping
                read Google service configuration
                view network connections
                full network access
                control vibration
                prevent device from sleeping
                read Google service configuration

        親コメント
        • たくさん必要なんですなぁ
          カメラとかストレージは妥当な感じですがcall logとかcontactとか何なんでしょうね
          権限の詳細な内容は知らんですけど

          …なんか被ってるのがありますね
          $ cat hoge | sort | uniq -c
                    16
                      1 approximate location (network-based)
                      1 connect and disconnect from Wi-Fi
                      2 control vibration
                      2 full network access
                      2 modify or delete the contents of your USB storage
                      1 precise location (GPS and network-based)
                      2 prevent device from sleeping
                      2 read Google service configuration
                      1 read call log
                      2 read the contents of your USB storage
                      1 read your contacts
                      1 receive data from Internet
                      1 run at startup
                      1 take pictures and videos
                      1 view Wi-Fi connections
                      2 view network connections
                      1 Wi-Fi 接続情報
                      1 その他
                      1 カメラ
                      1 コンタクト
                      1 ストレージ
                      1 モバイル端末
                      1 位置情報
                      1 写真、メディア、ファイル
          なんでこうなるんだろう
          どっかの一覧表示の仕様?

          親コメント
  • by Anonymous Coward on 2018年08月29日 19時19分 (#3470703)

    ちなみに、こんなしっかりしたタレコミを不採用にした理由って何か有るんでしょうか?

    • 理由は簡単で,編集者の目に留まらなかった,って事だとおもいます

      スラドの編集者&読者を考えると
      - 文章が簡潔であること
      - 批判する対象,叩きやすい話題を全面に出していること
       (残念ながらスラドは批判的な話題の方が盛り上がるようです.例えばエセ科学とか)
      がポイントになると思います

      不採用のタレコミは,
      - 文章が読みにくい
      (技術的な話が好きな人には少し物足りない,しかし門外漢には意味不明な記述だと思います)
      - 主張が不明瞭
      (解析したことを自慢したいのか,情報流出の問題提起なのか,公式なのにこれでいいの的な話なのか,何がメインなのかよくわからない)
      という感じで,見逃されても仕方ない文面だと思います

      親コメント
    • よくある話です。
      その程度でめげていては優秀なタレコミ人にはなれません。
      精進して、もっと面白いいネタを投稿しましょう。
      親コメント
    • by Anonymous Coward on 2018年08月29日 23時20分 (#3470857)

      お盆のせいらしいよ
      https://twitter.com/hylom/status/1034734508333907969 [twitter.com]

      親コメント
      • ・hylomさんは当時お盆休みだった!
        ・タレコミ後何日かで自動的に却下される仕様だった!

        という2つの条件が重なったのでしょうがないよね

        スラド民はブラック企業をいつも批判しているから、まさか「hylomさんはお盆休みも取らずに年中無休で働け!」なんてこと言わないよね?

        お盆休み中にタレこみが採用できない、これはやむを得ないよね

        • by Anonymous Coward

          ブラック企業とは関係なく、お盆だからもどうでもよく、
          やる気が期待できないから改善を求めても意味がないとおもっている。
          別にお盆じゃなくても他意が無くてもランダムに取りこぼされるだろうと。

          不採用に噛みついてもただ空しいだけ。

          • by Anonymous Coward

            ほんと、編集者不足で年中困ってるんだから、こんなこと言い出すなら、自分から編集者に立候補すればいいのに。

    • by Anonymous Coward

      法的措置とかその辺ちらつかせたんじゃないかな
      from AC

    • 不採用になったタレこみ [srad.jp] は、 はてなブックマークでも500人近くにブックマークされる [hatena.ne.jp] など、絶大な人気があります。
      送信ログのキャプチャーを証拠として挙げている上、「公式QRコード作成サイト」の「シークレット方式」の機能説明などから、公式にも当該ログ機能の存在を認めているソースがあるのですから、真偽不明だから採用しなかったという言い訳は通用しません。

      なのになぜ採用されなかったのか。それは、オリジナルのタレこみの信憑性を検証したり推敲したりするのも面倒だし、オリジナル情報による訴訟リスクも負いたくないし、そもそも需要のある話題なのか

    • by Anonymous Coward

      タレコミを不採用にした、ってどういうこと?このストーリーが編集者に1回ボツにされたってこと?

      • ストーリー上部にリンクのある「『「公式」QRコードリーダーを使うと読み取り時の位置情報がQRコード作成者に提供される』」と言うタレこみですね

        元々この問題が出てきた時点でタレこみがあったのに、なぜその当時採用されなかったんだ?と
        いぶかしんでる人がいるってこと

        単に見落としてただけじゃないのかな

        親コメント
      • by Anonymous Coward

        「公式」QRコードリーダーを使うと読み取り時の位置情報がQRコード作成者に提供される [srad.jp] という 2018年08月11日 19時56分のタレこみ が、不採用になったことについての話。

        分かりやすく言えば、「デンソーウェーブが不正に個人情報を収集して第三者提供しています」という段階では却下して、
        「デンソーウェーブは個人情報の不正収集と第三者提供を取りやめました。これからは安心して公式QRアプリを利用いただけます^^」というストーリーを採用したってこと。

        既に問題点は修正済みなので、会

    • Re: (スコア:0, 参考になる)

      by Anonymous Coward

      私見では、却下されておかしくないタレコミに思えた。
      タレコミ時点では具体性がないフワフワとした文章で、アプリ名すら遠まわしに表記されており、わかる人以外には意味不明だった。
      そもそも裏付けとなる根拠がなく、いわば怪文書の類だった。

      あれを逡巡なく採用できる編集者はむしろバランス感覚が怪しいと思うし、
      ベンダーの発表によって裏付けが取れた時点でストーリーにしたスラド編集者の判断には、個人的には異存がない。

      • by Anonymous Coward on 2018年08月29日 20時33分 (#3470766)

        > アプリ名すら遠まわしに表記されており
        QRコードリーダー”Q” [denso-wave.com] というのは、正式名称なんですが。
        当該タレこみには『QRコードの特許及び商標を保有している株式会社デンソーウェーブと、アララ株式会社が共同開発している「公式QRコードリーダー "Q"」』と説明付きではっきり書かれていましたよ。

        > そもそも裏付けとなる根拠がなく、いわば怪文書の類だった。
        証拠もはっきり挙げられてましたけど。

        なんで元タレこみを読みもせず、問題となっているアプリの名称も確かめもせず、出鱈目なスラド擁護をするんだろう。

        親コメント
      • by Anonymous Coward

        >アプリ名すら遠まわしに表記されており、
        誰でもSLAPPは怖いのです

    • by Anonymous Coward

      ようやくバズったから

    • by Anonymous Coward

      単純に見落としてたに100トルコリラ

    • by Anonymous Coward

      前例 [srad.jp]に忖度しました

  • by Anonymous Coward on 2018年08月29日 23時28分 (#3470861)

    Google Playでは批判的レビューが殺到
    https://twitter.com/HiromitsuTakagi/status/1034803365748781058 [twitter.com]

    App Store [twimg.com]には、

    ■位置情報
    地図のQRコードの読み取り、作成に使用します。

    との虚偽説明。

    なのに、Appleは虚偽説明で個人情報を奪った不正電磁的記録アプリを削除するどころか、
    app storeでは批判レビューを削除して隠蔽
    https://twitter.com/kuroneko_ko2a/status/1034805951323299840 [twitter.com]

    Hiromitsu Takagi
    この件から言えることは、App Storeの審査もザルだなということ。明らかな違反。App Storeの審査を信用していたが、これでは信用できない。Appleは早く削除しないと。

    引用:高木浩光のツイッター [twitter.com]

    App Storeは審査があるから安心だといってるやつは考えを直した方が良い
    アップル信者の高木浩光でさえも「App Storeの審査を信用していたが、これでは信用できない。」と発言しているのだからな

    • by Anonymous Coward

      https://twitter.com/HiromitsuTakagi/status/1034810163973128195 [twitter.com]

      高木ひろみちゅのツイッターより:

      一方、AppleのApp Storeでは、なぜかユーザーレビューが6月のが最新で止まっており、これでは気付かずに入れる人が出てしまうと心配していたら、なんと、消されたという声が。AppleのApp Storeの信用も地に落ちた。明らかにApple基準で不正なアプリなのに。

    • by Anonymous Coward

      App Storeって食べログみたいにアプリデベロッパーがレビュー消せるのかな?
      https://pbs.twimg.com/media/DlxehdmUcAEw2kB.jpg [twimg.com]

      Qアプリの開発者肯定的レビューには全リプしてるし工作活動の香りがする

    • by Anonymous Coward

      iPhoneの地図から竹島の名称が削除されるなんてニュースも出たし
      (朝鮮日報の発表なので名称変更は韓国のみかもしれませんが)
      しばらくはAppleさんも大変そうですね

  • by Anonymous Coward on 2018年08月29日 20時37分 (#3470768)

    GooglePlayストアで見かけたことあります。
    "何の"公式なのか書かれていない不誠実なアプリ名だったので
    その時はフィッシングかウイルス系の詐欺アプリにありがちな名前だなと思いスルーしていました。
    今アプリの説明 https://play.google.com/store/apps/details?id=com.arara.q [google.com] をもう一度読んでいますが、
    ※ ”Q”は、株式会社デンソーウェーブとアララ株式会社が共同開発しています。
    プレスリリース https://www.repica.jp/news/press/entry3212/ [repica.jp]
    と書かれており、アプリ名や説明文でデンソーの名前が沢山書かれていますが全て自社主張だけで
    デンソーサイドからの発表にリンクが張られてなく、やはり警戒してしまう説明文でした。

  • by Anonymous Coward on 2018年08月29日 20時38分 (#3470769)

    数あるQRリーダーの中でも、読み取り早いし写りが悪い画像からも読んでくれるし広告も無いので重宝していました。
    まあ、都合良すぎたんですかね。
    特に広告もなしに何でだろって思ってたら無断で個人情報を収集してたとは。

    • by Anonymous Coward

      これこそ「その意図に沿うべき動作をさせず又はその意図に反する動作をさせるべき不正な指令」だろうに田舎警察は何をやってるんだか

      • by Anonymous Coward

        逮捕マダー チンチン AA略
        企業には忖度する優しい警察

    • by Anonymous Coward

      自己解決?ですが、iOSの場合は位置情報を使用しない設定をOS側からできました。
      ネットワーク接続は止められないので読み取り時刻とIPアドレスの送信は止められませんが。

    • by Anonymous Coward

      iOSなら普通にカメラアプリで写真撮ればいい。QRコード読み込んでくれるでしょ。

      • by Anonymous Coward

        悪条件下でも超高速で読み取れる ”Q”とは、精度が違いすぎる
        速度が数倍以上違うので話にならない

        例えるなら、新幹線の代わりに高速バスでいいでしょ? と言ってるようなもの

        • 最大のメリットはQRコード生成機能だと思いますがね。長ったらしいメアドとか渡すのに重宝します。

          // 権限はカメラのみ有効。ストレージ、位置情報、連絡先は禁止で運用

          親コメント
          • by Anonymous Coward

            ガラケーからAndroidスマホに機種変更したら、オーナー情報や電話帳の内容を
            QRコード化する機能がないんですね……。
            AndroidビームとかBluetoothとか使えってことですか。そうですか。

            そういうQRコードを撮影してみると「連絡先に追加しますか?」と聞いてくるので
            いまでも読み取りはできるみたいですけど。

        • このアプリ,適当に扱っても高速読み取りだからな~
          親コメント
        • by Anonymous Coward

          あんまり早いんで、意図したのとは別のQRコードを拾ってしまってかえって不便だよこれ。

typodupeerror

身近な人の偉大さは半減する -- あるアレゲ人

読み込み中...