ビデオチャットのセキュリティ：Housepartyには誰がいますか？

Housepartyなどのビデオチャットアプリは、世界中の人々が自宅でより多くの時間を過ごし、友人や同僚とオンラインでより多くのやり取りをするようになったため、過去数か月でユーザーが大幅に増加しています。企業がこれを急速に成長させると、ユーザー保護が遅れることがよくあります。 WhatsApp、iMessage、FaceTimeなどのプラットフォームに組み込まれている長年の通信アプリは、何十億ものユーザーによって使用されているため、堅牢である傾向があり、その結果、多くの調査とテストが行われてきました。

小さくて新しいビデオプラットフォームはこの方法で検討されておらず、最近、一部のビデオアプリを使用することの安全性が問題視されています。これまでに、企業がデータを合法的に収集する 方法、オンラインで安全性を保つ方法 、およびアカウントが侵害された場合に取るべき措置について詳しく説明 しました 。この投稿では、Houseparty、それを使用することによるリスク、および非公開にしたくないものを共有しないようにするための簡単な手順でできることについて簡単に説明します。

すべてのユーザーが直面する4つのリスク：データの盗難、データの過剰共有または追跡、脆弱なセキュリティ

一般的に言って、ユーザーがこれらのようなビデオアプリの使用から直面する4つのリスクがあります：

1. 不適切なコンテンツと弱いペアレンタルコントロール。
2. アプリ会社からの意図的な（そして違法な）データ盗難。
3. 合法ですが、しばしば予期しないデータの意図的な共有または追跡。
4. アプリのセキュリティの過失、またはアプリのセキュリティの脆弱性の結果として実行されるハッキングを介して個人情報にアクセスする他の人々。

これらのそれぞれが発生する可能性を見てみましょう。

Housepartyのホームページは、アプリをソーシャルネットワークとして販売していますが、ユーザーがソーシャルネットワークに合理的に期待できるペアレンタルコントロール機能がありません。 GoogleのPlayストアでのアプリの宣伝文は、「実際にぶらぶらすることの次善策」と説明しています。それはほぼ真実です。Housepartyを使用している子供にとって、このアプリは直接出かけるようなものですが、気味の悪い高齢者がセックスについて質問するようなものです。

Housepartyにサインアップするときは、すべてのユーザーが生年月日を提供する必要があり、アプリは実行中にその情報をすぐに渡せるように保持します。アプリが定期的に使用する追跡製品にユーザーの生年月日を送信します。 Housepartyの最新の機能、およびその収益化計画の要点は、ユーザーの年齢に注意を払わない一連の統合されたクイズです。

再生するクイズを選択すると、すべてのユーザーに同じクイズのリストが表示されます。18歳以上の「俗語」クイズは、未成年のユーザーでも3番目に表示されます。私たちはこのブログでアダルトコンテンツを避けていますので、詳細には触れませんが、クイズには、子供向けではない幅広いコンテンツが含まれています。ヘロインからマリファナ、そして性別や性器のさまざまな説明。ああ、そしていくつかのジェフリー・ダーマーのコンテンツもあります。

HousepartyアプリはAppleのApp Store で「12歳以上」に適しているとマークされ、GoogleのPlayストアでの広告は「Teen」に適しているとマークされています。アプリにはペアレンタルコントロール機能が統合されていません。

多くの保護者は、自分の子供がオンラインやアプリで目にするものについて正当に懸念しており、多くのサイトがアプリをレビューしてこのガイダンスを提供しています。英国では、非営利のInternet MattersがBT、Skyなどの支援を受けてこのようなサービスを提供しています。組織は現在、Housepartyに関するガイダンスを大きく宣伝しており、業界、政府、学校と協力してこのガイダンスを提供していることを説明しています。

このようなサービスは保護者にとって重要なリソースですが、インターネットの問題の場合、デューデリジェンスがほとんどまたはまったく行われていないようです。保護者に対する彼らのアドバイスは非常に限定されており、主にビデオの見知らぬ危険についての一般的な警告に固執しており、保護者がアプリをダウンロードするように行動を促すフレーズで終わっています。

Housepartyの利用規約をざっと読んだだけでも、合理的な専門家はアプリがGDPRに準拠していないこと、ペアレンタルコントロールが欠如していること、ユーザーがアプリで共有するものを使用する権利を主張していることに気付くでしょう。これは、18以上のクイズコンテンツとともに、保護者にフラグを立てるために重要です。 Internet Mattersは、このコンテンツを提供することにより、世界中の関心のある保護者に積極的に害を及ぼしています。

十分に精査されていないアプリで安心できるページを公開するサービスはInternet Mattersだけではありませんが、少なくとも4月2日現在、誤解を招くコンテンツの宣伝に投資しているため、強調することにしました。 1人のユーザーが懸念を公に報告します。

このようなサービスでは、アプリの審査時に行う手順を目立つように表示し、審査が表面的なものであり、用語や製品自体のレビューではなくマーケティング資料からのみ行われた場合の明確な免責事項を追加する必要があります。これらのサービスは、コンテンツがアプリの現在の状態を適切に反映できるようになるまで、製品とサービスが更新された後、コンテンツを撤回することを検討する必要があります。 （Internet Mattersのガイダンスは2019年12月24日に最終更新されましたが、Housepartyは2019年1 月に約11か月前にクイズを導入しました。）

追跡、追跡、どこでも...

個人データの合法的であるが予期せぬ共有についてはどうですか？ Housepartyにはいくつかのことが起こっています。

違法なデータ盗難のリスクは非常に低いです。 Housepartyの親会社には、これを含まない明確なビジネスモデルがあり、本社はまともなデータ保護法のある国に本社を置いています。 HousepartyはEpic Gamesが所有しています。それがユーザーのデータを盗むことを示唆する証拠はなく、それを捕まえることは逆効果になります。

Housepartyは有料の製品ではなく、その収益モデルは現時点では不明です。これが、アプリが追跡している可能性があることを警戒する正当な理由です。ただし、現状では、Housepartyがハッキングされている、または情報が漏洩しているという証拠は確認されていません。

Twitterの逸話は十分ではありません...

Twitterには、銀行口座が襲撃された、Spotifyの口座がアクセスされた、Housepartyを使用した後に電子メールが利用可能になったなどのユーザーの報告がたくさんありますが、これらの報告はすべて逸話的で信頼性がありません。多くの人が推測しやすいパスワードを使用してハッキングされ続けています：Security Magazineは39秒ごとにハッカーが攻撃することを示唆するメリーランド大学の調査を取り上げており、Gemaltoのデータは毎秒291件のレコードが盗まれていることを示唆しています。

ポイントを実証するために：Appleのセキュリティは一般に強固ですが、 時々Appleがハッキングされたという提案がまだあります。 Twitterでいつでもこれを主張するクランクをいくつでも見つけるのは簡単です。事例の告発は不正行為を証明しません。

それまでの間、Housepartyは第三者が中傷キャンペーンを組織していると主張している：

最近のハッキングの噂が、Housepartyに危害を加えるための有料の商業塗抹キャンペーンによって広まったという兆候を調査しています。このようなキャンペーンの証明を最初の個人がbounty@houseparty.comに提供するために、1,000,000ドルの賞金を提供しています。

— Houseparty（@houseparty） 2020年3月31日

Houseparty も言っています：

すべてのHousepartyアカウントは安全です-サービスは安全で、侵害されたことはなく、他のサイトのパスワードを収集しません

ただし、ある程度、それは言葉遊びです。合理的な製品はパスワードを収集または保存せず、代わりに認証トークンを使用します 。ユーザーがHousepartyアカウントをFacebook、Spotify、またはSnapchatに接続する場合、Housepartyアプリはこれらのアカウントの認証トークンまたはデータ共有トークンにアクセスし、場合によってはそれらを保存できます。これらのトークンが保存されているかどうかはわかりません。これらの種類のトークンを保存することは本質的に珍しいことではありませんが、Housepartyがサインアップ時にのみ連絡先をFacebookと同期するか、連絡先やその他のアカウントデータを同期できるようにFacebookの認証トークンを保存するか未来？彼らのツイートはこれを排除するものではありません。

Housepartyのセキュリティとデータ使用の詳細

ESETはHousepartyのAndroidアプリを調べ、 概して問題ないように見えることを示唆しました。私たちは、HousepartyのiOSアプリと、それがどのようにデータを保存するか、そしてサービスに関するいくつかの契約と法律についても同様に見てきました。次のように、 com.herzick.housepartyアプリからのいくつかの注目すべき発見を強調しました。

• Housepartyは現在、Zoomと同じようにFacebookと統合されています。統合には、一部の使用状況データをFacebookと共有することが含まれます。フェイスブックの友達を招待できるようにするためにそこにあるように見え、ユーザーがFacebookに接続することを選択した場合、追跡は避けられない結果です。
• Housepartyは、エンドユーザーデバイス上のあらゆる種類の構成データのフィードアドレスを格納およびキャッシュします。たとえば、Housepartyの「おもしろい」トリビアゲームのすべての質問と回答へのパスが含まれています。他の多くのフィードと共に、すべてのユーザーの電話に残っているようです。
• Housepartyアプリは、ユーザーが受信する「フェイスメール」をキャッシュします。それらはLibrary/Application Support/Prefetch-Facemailsにあり、 mp4形式で保存されています。 （自分を探したい場合は、 このドキュメントが役立ちます。）
• ユーザーの電話について保存されている合理的な量の追跡情報があり、おそらくデバイスのフィンガープリントのためです。と同じようにNetflix、Housepartyはデバイスのユーザーエージェント（つまり、Mozilla/5.0 (iPhone; CPU iPhone OS 13_4 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) Mobile/15E148）だけでなく、次のような値も保持しますbnc_device_fingerprint_id、サービスを使用しているデバイスを特定するのに役立ちます。デバイスのフィンガープリントは普及実践Appleが繰り返し取り締まりを繰り返してきており、Housepartyが推奨を使用していないようです。IDFA/IDFVAppleが提供する追跡識別子。おそらく彼らは追跡の有効性を鈍くしているからです！
• 驚いたことに、Housepartyアプリのバックアップには、アプリの完全なログ記録/追跡データベースが含まれています。これにはユーザー自身のデータのみが含まれますが、実際には冗長であり、バックアップに含めるべきではないあらゆる種類の詳細なデータが含まれます。

Housepartyは、これらのポイントの少なくとも一部がフラグが立てられていない限り、サードパーティのセキュリティ監査を通過することはないのではないかと考えています。 Housepartyがサードパーティのセキュリティ監査を実施したことを確認すると、安心できます。

細字を見て...

最後に、Housepartyのプライバシーポリシーとlegalに目を向けると 、うまくいかないことがいくつかありました。まず、責任ある開示方針はありません。これは、セキュリティ研究者が問題を発見したときの会社の反応を説明するドキュメントになります。通常、このようなポリシーには、問題を修正できるように責任を持って会社に問題を開示することに基づいて、発見者に対するセキュリティ報奨金が含まれています。

このようなポリシーがないと、セキュリティ研究者は通常、問題を発見したときにカスタマーケアチームにメールを送信しなければならず、カスタマーケアを通過して会社のセキュリティチームと連絡を取ることは非常に困難です。見ている最中にアプリで本当にひどいものを見つけたとしたら、開示ポリシーがあれば見つけたものを簡単に報告する場所が与えられたでしょう。 （参考までに、こちらがReincubateの開示ポリシーです。）

Housepartyがセキュリティに関するスメアキャンペーンの証拠を見つけるために$ 1mの賞金（明確な条件や条件なしで！）を提供するが、プラットフォームのセキュリティ問題の責任ある開示に対する報酬を宣伝しないことは本当に驚くべきことです 。

Housepartyの利用規約には、いくつかの懸念事項があります。セーフハーバー/プライバシーシールドまたはGDPRについてはまったく言及されていません。これは、ユーザーの保護に対するカジュアルな態度を示しており、ヨーロッパのデータ保護規制当局との法的困難に直面する可能性があります。さらに、GDPRに準拠していないことは、そのようなサービスを使用する企業自身がデータ保護法に違反していることを意味する可能性があり、そのため彼らは自社の顧客からの挑戦にさらされる可能性があります。 GDPRが考慮されていないことの1つの兆候は、ユーザーがマーケティングのオプトアウトのみを選択できることです。これは、ヨーロッパのGDPRの法律に違反しているため、このようなオプションはサインアップ時に「オプトイン」する必要があります。他のデータ収集をオプトアウトする方法もありません。

Housepartyの条件には以下が含まれます。

Life on Airは、開発、製造、および/またはマーケティング商品またはサービス

私たちは弁護士ではありませんが、知的財産の問題を提起しているようです。ビジネスアイデアや製品について話す場合、 Housepartyはあなたが議論したものを自由に入手して、独自の製品を開発するか、情報を第三者に販売することができます。 。また、サービスが一部のメッセージコンテンツを保持する可能性があることも示唆しています 。その場合、通信の監視に関するヨーロッパの法律に違反する可能性があります。

彼らの用語には、次のフレーズも含まれています。これは、迷惑なマーケティングコミュニケーションをオプトアウトするためにHousepartyに電子メールを送信するように促します。

当社に個人情報を提供する個人、または第三者から個人情報を取得する個人は、当社または当社のビジネスパートナーの製品やサービス、または今後の特別オファーに関する情報が記載された電子メール、ニュースレター、郵送、プッシュ通知、またはテキストメッセージを定期的に受け取ることがあります。 /興味深いと思われるイベント。私たちは、以下のセクション5の指示に従って、個人に無料でこれらの通信を拒否するオプションを提供します。

これらのHousepartyプライバシー問題はすべて、FaceTime、iMessage、WhatsApp、Zoom、Slackなどの確立されたメッセージングアプリとはまったく対照的です。 WhatsAppには、プライバシーに関する優れた一連のドキュメントとポリシーがあります。 ズームでさえ、 次のように述べています。 Zoomは、顧客のコンテンツを誰かに販売したり、広告目的で使用したりすることはありません。」 Slackは、サービスを提供するために顧客データのみを使用し、顧客の希望に従ってそれを保持することを明確にします（たとえば、一部のビジネスプランはアーカイブを提供します）。

セキュリティに不安がある場合の対処

オンラインでの安全確保やHousepartyの使用について懸念がある場合は、次の手順を実行することをお勧めします。

• Housepartyをアンインストールするだけでは、サービスからデータを削除できません。彼らのサービスはまだあなたの電話番号、名前、アップロードされた連絡先リスト、認証トークンを保存するかもしれません。彼らの条件は、 hello @ houseparty.comに連絡してマーケティングをオプトアウトし、あなたの詳細を削除することを勧めています。奇妙なことに、 data-requests @ lifeonair.comという電子メールは後で引用されますが、データ要求については引用されません。
• あなたの電話番号以外を共有することなくHousepartyを使用することが可能です。連絡先リストのアップロードと同様に、Facebook、Snapchat、Spotifyの統合はすべてオプションです。これらのことは避け、代わりに手動で友達を追加することをお勧めします。
• Housepartyを実行する場合、ユーザーは訪問者がいつでも部屋に立ち寄ることができることに注意する必要があります。アプリを開くとすぐに、他のユーザーにオンラインであることが通知されます。注意してください！デフォルトでは、部屋はロックされていません。つまり、追加したユーザーは誰でも立ち寄ることができます。お風呂にいる間に上司がハウスパーティーに立ち寄ったことに驚かされているユーザーに関するあらゆる種類のツイートがあります。これはHousepartyの設定で変更できます。
• 他のオンラインサービスと同様に、オンラインでの安全を確保するために、一連の簡単な予防策を講じることをお勧めします。これらをこの記事の最後にまとめ、Appleユーザー向けの包括的なセキュリティのヒントをここに示します 。