2015年06月25日 14時46分 ソフトウェア

ChromeとChromiumがあなたの周囲を勝手に録音する機能を突然スタート

by dorena-wm



Google Chromeとその派生元であるChromiumで、「Chrome Hotword」という拡張機能が何の通知もなくインストールされたという告発がありました。



Not OK, Google: Chromium voice extension pulled after spying concerns | Ars Technica

http://arstechnica.com/security/2015/06/not-ok-google-chromium-voice-extension-pulled-after-spying-concerns/



Issue 491435 - chromium - Opt-out Chrome Hotword Shared Module - An open-source project to help move the web forward. - Google Project Hosting

https://code.google.com/p/chromium/issues/detail?id=491435



#786909 - chromium: unconditionally downloads binary blob - Debian Bug report logs

https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=786909



この問題はGoogle Chrome 43およびChromium 43にアップデートすると「Chrome Hotword Shared Module」というモジュールが無条件でダウンロードされる、として5月22日にChromiumのフォーラムに報告が行われました。しかし、この報告は放置されたような状態になったため、改めてDebianのフォーラムに報告が行われ、議論が進んでいきます。





ダウンロードされた「Chrome Hotword Shared Module」はソースコードなしのバイナリを含む「バイナリ・ブロブ」で、インストールされた拡張機能「Chrome Hotword」をオプトアウト(機能解除)する設定もありませんでした。また、「Chrome Hotword」は、通常であればインストールされた拡張機能が一覧で見られるはずの「chrome://extensions/」にも出てこないものでした。



そして、「Chrome Hotword」がインストールされると、音声検索(chrome://voicesearch/)の「Microphone」「Audio Capture Allowed」がいずれも「Yes」になることが判明します。つまり、ChromeとChromiumはマイクを通して周辺の音声を録音できる状態になっていたのではないか、ということです。





6月16日、再びChromiumのフォーラムにこの問題が投稿され、翌17日にChromium開発チームのMatt Giucaさんから、この件に関する説明が行われました。



Issue 500922 - chromium - Hotword behaviour in chromium v43 (binary blob download) - An open-source project to help move the web forward. - Google Project Hosting

https://code.google.com/p/chromium/issues/detail?id=500922#c6



Giukaさんによる「Hotword」がユーザーの許可なく音声を録音しているのかという点についての返答は、「Hotwordはオプトインしないと活性化されない」「音声検索はデフォルトではオフなので、意図しない限り、Hotwordはオンにならない」というものでした。Google ChromeやChromiumの設定画面で、検索の項目にある「『OK Google』による音声検索の開始を有効にする」のチェックがオフであれば大丈夫、というわけです。





2つ目、オープンソースアプリケーションにバイナリ・ブロブ(ソースが確認できないバイナリ)を入れる件についてGiucaさんは、「Google Chromeはオープンソースではなく、プロプライエタリ(非公開)のバイナリがいくつも含まれているので、Hotwordモジュールが含まれることについても問題はない」「Chromiumに関してはバージョン43.0.2357.81-1でHotwordモジュールを無効化し、サードパーティ・ディストリビューターがHotwordを簡単に無効化できるようChromium 45で変更を加える」と見解を示しました。



そして、拡張機能の一覧画面に出てこない件は、「あくまで自分でインストールした拡張機能を表示するもので、最初から入っているブラウザのコア部分などが表示されても混乱を招くだけ」とのことで、現状が維持されることになりました。



現時点で、Google Chromeを使っている人の場合、機能は活性化されていないかもしれませんがインストールはされた状態のまま。Googleのサービスやアプリケーションを使っている場合、すでにかなりディープな個人情報まで渡してしまっているのも同然なので、いまさら音声をキャプチャされたところで……という考え方はあるかもしれませんが、そういうものは不気味でイヤだという人はGoogle ChromeではなくChromiumを使うことをオススメします。

