カレログ、applogに続きNTTドコモが参戦?

(適宜追加予定) NTTdocomoが今後発売のandroid端末で「プリインストールのメディアプレーヤーが HTTP ヘッダで IMEIタレ流しという信じがたい仕様」にすると発表。 IMEIとは: International Mobile Equipment Identityは、GSM/W-CDMA/iDENの全ての携帯電話や一部の衛星電話に付与される識別番号。GSMのネットワークでは、正当なデバイスかどうかを識別するのに使われており、盗まれた携帯電話を使えないようにすることもできる。例えば携帯電話を盗まれた場合、携帯電話会社に電話してそのIMEIの電話でネットワークにアクセスできないようにしてもらうことができる。そうするとその電話はSIMカードを入れ替えても使えなくなる。 続きを読む
アンドロイド DoCoMo Android 高木浩光 セキュリティ ドコモ
11080view 3コメント
23
SAKIYAMA Nobuo/崎山伸夫 @sakichan
ふと、なぜ広告事業者がAndroidアプリ内広告でANDROID_ID に頼るか気づいた。Web 広告でやってるクッキーによる複数サイトをまたいだトラッキングをアプリをまたいでやろうとしても出来ないから。
SAKIYAMA Nobuo/崎山伸夫 @sakichan
Android アプリでWebViewで広告表示したとして、cookie はそのアプリに閉じる。そして、cookie のドメインやホスト単位の保護と同等のことを、広告SDK という立場で作ることは、まず不可能。わりと根が深い。
SAKIYAMA Nobuo/崎山伸夫 @sakichan
たぶん、技術的には、広告表示をアプリとは別のアプリで行い、RemoteViews としてアプリに貼る感じでcookie 情報の集約は実現可能だけど、Android の標準のブラウザには今まで発表されてる範囲では実装されてない。
SAKIYAMA Nobuo/崎山伸夫 @sakichan
まあ、だからといって、固有IDトラッキングしょうがないと言ってるわけじゃないので念のため
SAKIYAMA Nobuo/崎山伸夫 @sakichan
@HiromitsuTakagi AMoAd の件ですが、コードを見るとTelephonyManager から IMEI を取得して広告取得のさいに送信するようですね。調査アプリは一番permission がシンプルなこれ http://t.co/fZhRYByp
SAKIYAMA Nobuo/崎山伸夫 @sakichan
IMEI で tracking するのは AMoAd 以外に AdWhril もだな。AdMob は android_id を使ってる。
SAKIYAMA Nobuo/崎山伸夫 @sakichan
google のアプリ広告は端末固有IDは取らない模様。位置情報tracking の機能はあるみたいだけど、手元の fxcamera では permission を出してない。インストールアプリは、列挙したものの存在をチェックする機能はあり、YouTube の存在チェックをする。
SAKIYAMA Nobuo/崎山伸夫 @sakichan
Mediba の SDK は android_id と IMEI の両方をとるようだな。あと、SDKの構造としては 年齢や性別もパラメータとして持っているけど、手元のアプリのSDKでは使われてない模様。
SAKIYAMA Nobuo/崎山伸夫 @sakichan
docomoの新機種発表と新サービス発表で開発者向け情報が更新されていたので見たらプリインストールのメディアプレーヤーが HTTP ヘッダで IMEIタレ流しという信じがたい仕様 http://t.co/oJdla4wx
SAKIYAMA Nobuo/崎山伸夫 @sakichan
i モードIDとかタレ流しで平気な会社だから、Androidでも、標準ブラウザはともかく自社でメディアプレーヤーとか作ると IMEI タレ流しになるのかな>docomo
SAKIYAMA Nobuo/崎山伸夫 @sakichan
NTTドコモは音楽・動画ファイルを置いたサイトにはIMEIをタレ流すことにしたそうです / “音楽・動画 | サービス・機能 | NTTドコモ” http://t.co/qDOj4Xql
わかほう @wakahou
メディアプレイヤーがHTTP通信を行う際は、以下の拡張ヘッダが付与されます x-dcmstore-imei:<SP>xxxxxxxxxxxxxxx<CR><LF> <SP>:半角スペース <CR><LF>:改行コード xxxxxxxxxxxx[15桁]:IMEI [ '_ㄣ' ]
Hiromitsu Takagi @HiromitsuTakagi
@sakichan うはあ。GJ。いつからだったんだろう……。
SAKIYAMA Nobuo/崎山伸夫 @sakichan
@HiromitsuTakagi 10/18発表で、これから発売されるモデルにプリインストール。
Hiromitsu Takagi @HiromitsuTakagi
@sakichan 旧機種も追加でインストールできそうですかね。
SAKIYAMA Nobuo/崎山伸夫 @sakichan
@HiromitsuTakagi アプリの作りとしては限定する理由はないけど、あとはドコモの営業方針次第かな。
つっちー :tsuchi @Tsuchima
ちょwww ドコモェ! IMEI垂れ流しだと!?
Hiromitsu Takagi @HiromitsuTakagi
早めに寝たら悪い夢(AppLog再開のお知らせの夢)見て起きた。現実と区別がつかず、Twitterを見にきたら、docomoダケがたいへんなことになっていた。
ṜOCA @rocaz
つまり偽リンクでちょろっとメディア再生させればC/PはIMEIによる紐付けまで可能になった訳だ。しかもCookieと組み合わせスーパーCookieの出来上がり "メディアプレイヤーがHTTP通信を行う際は以下の拡張ヘッダが付与されます" http://t.co/2cn0k9Fh
ṜOCA @rocaz
IMEIは契約時に確実にキャリアに把握される。C/Pが自由に入手できるとなると、キャリアは契約情報に加えてC/Pからより詳細な属性情報も取得できるしC/Pにしてもより確実な個人情報と結べることにもなる。更に端末に依存し一切変化しないので究極のスーパーCookieとなる
ṜOCA @rocaz
IMEIは端末に紐付くので例えばこれをDRMの根拠にすると、ライセンスの端末間移動や契約時変更は不能になる。更には中古端末の場合へたな認証に使って以前の持ち主情報漏洩は当然にして起こるだろうね。と考えると果たしてIMEIを何に使わせたいのか ドコモのエンジニアは馬鹿揃いか
上原 哲太郎/Tetsu. Uehara @tetsutalow
一応所掌違うので肩書き無視して言ってしまいますが、ケータイ各社は社内プライバシコミッショナーとかCPOとか配置すべきかと。それもちゃんと判ってる人の。なんでこんな仕様がスルっと通ってしまうのか本当に理解に苦しむ。
憲之助【喪中につき年末年始のご挨拶は失礼させていただきます】 @kogaken1
たぶんIMEI欲しいっていうのはユーザー行動を把握したい広告ゴロ紛いのコンテンツプロバイダからの要望なんだと思われる。キャリアがそういう際限ない要望に対してきちっと「我々の行動基準はこうだから」とブロックしていかないとダメなんじゃないかな。
nut @nut320
@docomo 標準搭載のメディアプレイヤーがIMEIを垂れ流す仕様という話は本当ですか?Windowsのメディアプレイヤーですら「一意のプレーヤーIDをコンテンツのプロバイダに送信する」オプションは標準ではOFFです。またMSはこのオプションを「プライバシー」タブに配置してます
残りを読む(39)

コメント

Inetgate Writer @Inetgate 2011年10月19日
まあ、@docomo にしてみれば、携帯ユーザのプライバシーなんてゴミ程度に考えているのだろうなと。
椎路ちひろ @ChihiroShiiji 2011年10月20日
「NTT docomo IMEI垂れ流し問題」http://togetter.com/li/202536 というまとめも作っております。ご参考まで。
asakurah @asakurah 2011年10月20日
掲示板やWiki等の荒らし対策とか投票サイトの多重投票対策とか考えてると、ユーザーが勝手に変えられない識別子が欲しくなるよね。本当に識別したいのは端末じゃなくて個人だけど
ログインして広告を非表示にする
ログインして広告を非表示にする