2018年03月08日 19時00分 セキュリティ

FacebookのVPNアプリ「Onavo Protect」はプライバシーを保護するどころか機能OFF状態でも情報を収集しまくっていると判明



Facebookが買収した企業Onavoが開発するiOS向けのVPNアプリ「Onavo Protect」が、ユーザー情報を収集しまくってはFacebookに情報送信しているとセキュリティ研究者が明らかにしています。Onavo Protectは一度インストールすると機能をOFFにしていても情報を収集しまくってはせっせと送信する凶悪ぶりです。



Notes on Analytics and Tracking in Onavo Protect for iOS

https://medium.com/@chronic_9612/notes-on-analytics-and-tracking-in-onavo-protect-for-ios-904bdff346c0



New Reason to Never Use Facebook's VPN: It May Be Siphoning Your Data Even When It’s Off

https://gizmodo.com/new-reason-to-never-use-facebooks-vpn-it-may-be-siphon-1823587791



Facebook Onavo Protect doesn't protect against Facebook • The Register

https://www.theregister.co.uk/2018/03/07/facebook_onavo_protect_doesnt_protect_against_facebook/



2009年に前身のVircadoとして創業したOnavoは、2013年10月にFacebookに推定1億ドル(約110億円)以上で買収されました。そのOnavoはプライバシー保護をうたうVPNアプリ「Onavo Protect」をリリースしました。なお、Onavo Protectは記事作成時点でApp Storeの評価が5段階の「2.3」と評判は散々のようです。



「Onavo Protect - VPN Security」をApp Storeで

https://itunes.apple.com/jp/app/onavo-protect-vpn-security/id577491499





その後、FacebookはiOS用のFacebookアプリに「Protect」ボタンの追加。ユーザーをOnavo ProtectアプリのApp Storeページに誘導していることを一部のメディアに批判されていました。





Sudo Security GroupのWill Strafach氏は、Onavo ProtectがFacebookアプリと密接な関係にあるだけでなく、データトラッキングしているのではないかというVPNアプリの機能についても疑念を抱く報道が出てきたことから、どのような種類のデータを収集しているのかを調査しました。その結果、Onavo ProtectがiOS SDKの「Packet Tunnel Provider」拡張機能を利用して、VPN接続されている間は常に動作し、定期的にFacebook(graph.facebook.com)にデータを送信していることを見つけたそうです。



Strafach氏によって発見された送信データは以下の通り。



・モバイル回線を提供する回線会社の名前

・モバイルネットワークコード

・地域言語

・iOSのバージョン

・Onavoアプリのバージョン

・ユーザーのモバイル端末の画面がONかOFFか

・日々のWi-Fiネットワーク使用量(バイト単位)

・日々のモバイルネットワーク使用量(バイト単位)

・VPN接続されている時間を示す「稼働時間」



Strafach氏によると、Onavo Protectは情報を収集後、メモリに49個以上の待機中のイベントがある場合または最後の更新から2分以上経過している場合に、メモリからログファイルにデータを移動させるとのこと。その後、ログファイルはFacebookへのデータアップロードの準備を行い、Onavo Protectアプリが起動していないときでさえ、Facebookにデータを定期的に送信しているそうです。さらに、「日々のWi-Fiネットワーク使用量」と「モバイルネットワーク使用量」については、VPN機能がOFFにされている時でも情報収集されているとStrafach氏は述べています。



Strafach氏は「画面のON/OFFとVPNの使用に何の関係があるのか分かりません。私の理解が正しいとすれば、画面のON/OFF情報はユーザーがどれくらい端末を積極的に利用しているのかを伝えるだけです。また、VPNに接続していない状態でもVPNの合計使用量を必要に応じてサーバーが判断できるという点も奇妙です」と述べ、Facebookが何をしようとしているのかはっきりしないと指摘しています。その上で、「なぜFacebookは特定のデータを収集しているのか、それをどうするつもりなのかを説明すべきです。簡単に説明できることをなぜ曖昧にしているのか理解できません。私はFacebookがユーザーのプライバシーを尊重していることを願います。私の疑問を明確にすることは、Facebookにとってとても良いことになるでしょう」と述べています。

