モバイル・デバイスのマルウェア

この翻訳は、 2017-02-08 以降に行われた英語のオリジナル版の変更を反映できていません。

マルウェアとは、ユーザを虐待し、害をなす方法で機能するように設計されたソフトウェアです。(これには、事故でのあやまりは含まれません。)

マルウェアと不自由なソフトウェアは、二つの異なる問題です。自由ソフトウェアと不自由なソフトウェアの違いはユーザがそのプログラムのコントロールを有するかどうか、または、その反対か(プログラムがユーザをコントロール)にあります。そのプログラムが実行時に何を為すかは直接には問題ではありません。しかし、不自由なソフトウェアは、実際、しばしばマルウェアです。なぜなら、どんな悪意の機能であってもユーザは修正するになんの力もないことを知る開発者は、それを少しばかり押し付けようかと誘惑されるからです。

ここにモバイル・デバイスのマルウェアの例を挙げます。Apple iThings特有の悪意ある機能については、Appleのマルウェアのページもご覧ください。

マルウェアのタイプ

バックドア
ディジタル権限管理または“DRM”はユーザがそのコンピュータのデータにできることを制限するように設計された機能を意味します。
危険性
監視
牢獄—アプリケーション・プログラムの検閲を強要するシステム。
暴君—メーカによって「承認」されていないオペレーティング・システムを拒絶するシステム。

モバイルのバックドア

携帯電話の万能バックドアがそのマイクロフォンで盗聴するのに使われています。

ほとんどの携帯電話は万能バックドアを有しており、その機能は携帯電話を悪意のあるものに変えるのに使われてきました。
小米の携帯電話はユニバーサル・バックドアがアプリケーション・プロセッサに仕組まれています。それは小米の利用のためです。

これはモデム・プロセッサにあるユニバーサル・バックドアがローカルな電話会社に利用できるのとは別のことです。
Baiduのプロプライエタリなアンドロイドのライブラリ、Moplusはバックドアを有し、「ファイルのアップロード」や強制的にアプリをインストールするようになっていました。

これは14,000のアンドロイドのアプリケーションに使われています。
サムソンのGalaxyデバイスはプロプライエタリなアンドロイドのバージョンを実行し、バックドアが付いており、デバイスに保存されたデータの遠隔からのアクセスを提供します。
アンドロイドではグーグルが遠隔でアプリを削除するバックドアがあります。 (GTalkServiceと呼ばれるプログラムです)。

グーグルは、また、GTalkServiceを通じて強制的に遠隔でアプリをインストールできるのです。(この記事の後、GTalkServiceはGoogle Playと一緒になったようです。) これは万能バックドアと等価ではありませんが、さまざまな汚いトリックを許します。

グーグルのその力の行使はこれまで悪意のあるものではありませんでしたが、問題はそういった力は誰も持つべきではない、それは悪意にも使われ得る、ということです。良く考えた後、あるセキュリティサービスが遠隔操作で悪意のあると考えられるプログラムを無効とするよう、あなたが決めることもあるでしょう。しかし、プログラムを削除することを認めるというのには、弁解の余地がありません。そして、このような方法で誰を(存在すればですが)信頼するかを決める権利があなたにあるべきです。

モバイルのDRM

アンドロイドはDRMを特にサポートするための機能が装備されています。

モバイルの危険性

「削除された」WhatsAppメッセージは完全に削除されたのではありません。様々な方法で回復できます。
追跡アプリの半ば盲目のセキュリティ批評: 甚だしい欠陥が誰もがあるユーザの個人データを覗き見することを許していることがわかりました。この批評は、アプリが個人のデータをサーバに送ることについて懸念を表明することに完全に失敗しています。そこでは、開発者はすべてを得るのです。この「サービス」は、だまされやすい人のためです!

このサーバには確かに「プライバシ・ポリシー」があり、確かにそれは価値がありません。ほとんどのものがそうですから。
プロプライエタリなASN.1ライブラリのバグ(携帯電話のタワー、携帯電話とルータに使用されていた)は、このシステムを乗っ取ることを許してしまいます。
多くのプロプライエタリな支払いのアプリは個人情報を危険な方法で送信します。しかし、こういったアプリのもっと悪いことは支払いが匿名ではないことです。
多くのスマートフォンのアプリは遠隔のサーバ上に個人のデータを保管する際、セキュアでない認証方式を使っています。これは電子メールアドレス、パスワード、医療情報のような個人情報を脆弱のままにします。多くのアプリがプロプライエタリなので、どのアプリがリスクがあるのかについて知るのは難しくなっています。
特別なサーバにユーザのデータを置くことにより“アイデンティティ盗難”(個人情報へのアクセス)を防ぐアプリがその開発者によって停止されていました。それ自身にセキュリティの欠陥が発見されたからです。

その開発者は、個人情報を第三者から護ることについては意識的だったようですが、それは国家からそのデータを護ることはできません。まったく逆なのです: ほかの誰かのサーバにデータを閉じ込めることは、最初に自由ソフトウェアを使ってあなた自身が暗号化するのでなければ、あなたの権利を害するのです。
The WhatsAppの危険性は盗聴を実に簡単なものにします。
NSAはiPhone, アンドロイド、BlackBerryのを含むスマートフォンのデータを盗み見ることができます。詳細はわかりませんが、ほとんどの携帯電話にあることがわかっている万能バックドアを通じて行われるのではないようです。それは、さまざまなバグの利活用に関係するかもしれません。携帯電話の電波ソフトウェアにはたくさんのバグがあるのです。

モバイルの監視

Uberのアプリは顧客の移動を乗車の前と後でも追跡します。

この例は、監視のための「ユーザの同意」がいかに大量監視の保護として不十分かを描き出しています。
ある携帯電話はたくさんのデータを中国に送信するスパイウェアとともに販売されています。
Facebookの新しいMagic Photoアプリは人々がモバイルフォンで撮った写真のコレクションの知っている顔をスキャンし、そのフレームに誰が写っているかに応じてあなたの撮った写真を共有する提案をします。

このスパイウェアの機能はある知っている顔のデータベースにオンラインでアクセスする必要があると思われますが、これは、写真がFacebookのサーバと顔認識アルゴリズムに回線を通じて送られるであろうことを意味します。

もしそうであれば、Facebookのどのユーザの写真も、もはやプライベートではありません。たとえユーザがそのサービスに写真を「アップロード」しなくてもです。
アプリの中でSymphony監視ソフトウェアもそうですが、近くでどんなラジオまたはテレビ放送が流れているかを覗き見します。Facebook, Google+ そしてTwitterのような様々なサイトでユーザが何を投稿するかも、です。
「かれらの」電話を通じて人々をモニタすることの自然な拡張は、かれらがモニタリングを「だます」ことが決してできないようなプロプライエタリなソフトウェアです。
「暗号のような通信」は、アプリの機能と関係なく、500のもっとも人気のある無償のアンドロイド・アプリに発見されました。

この記事は、これらのアプリを「フリー」として記述するべきではありません。それらは自由ソフトウェアではないのです。明確に「無料」と言う方法は「無償」です。

この記事では、通常の解析ツールは妥当だとして、与えられたものとして受け入れていますが、はたしてこれは妥当でしょうか? ソフトウェアの開発者はユーザがなにをどのように行っているかを解析する権利などなにもないはずです。覗き見をする「解析」ツールは、ほかのどんな覗き見と同じく間違っています。
アンドロイドとiOSのアプリのそれぞれ73%と47%以上が、ユーザの個人、行動、位置情報を第三者と共有します。
エドワード・スノーデンによれば、電話をオン/オフすることができる秘密のテクストメッセージを送信することで諜報機関はスマートフォンを乗っとることができ、マイクロフォンで聴き、GPSから地理データを取得し、写真を取り、テクストメッセージを読み、呼び出し、位置とウェブブラウズの履歴といった情報を取得し、連絡先リストを取得する、といったことができるそうです。このマルウェアは調査から逃れるのに自身を偽装するように設計されています。
ほとんどの「音楽背信」サービスもどきと同じく、Spotifyはプロプライエタリなマルウェア(DRMと詮索)をもとにしてます。2015年8月、それは、ユーザにより詮索に同意するよう要求し、一部の人々はそれが嫌なものだと理解し始めました。

この記事では、ユーザによりよく「サービス」する方法として詮索を行うとかれらが説明するひねくれたやり方を見せます。ユーザがそれを欲するかどうかは気に留めないのです。これは、ユーザが隷属させられるプロプライエタリのソフトウェア産業の姿勢として、典型的な例です。

出て行け、忌々しいSpotify!
サムソンの携帯電話はユーザが削除できないアプリが付いてきて、そのアプリはあまりにも多くのデータを送るので、ユーザに大変な送信費用がかかります。ユーザが望まないもしくは要求していない、この送信は、明らかにある種のスパイ行為を構成するに違いありません。
無料のアンドロイド・アプリ(だけど自由ソフトウェアではないもの)は、平均で100の追跡し宣伝するURLにつなぎます。
広く使われているプロプライエタリなQRコード・スキャナのアプリはユーザを覗き見ます。これは、電話会社による覗き見、おそらく電話のOSの覗き見に加えて、行われるのです。

アプリの開発者がユーザから「同意します」と言わせるかどうかの問題に、気をそらされないでください。これは、マルウェアの弁解にはなりません。
多くのモバイル・デバイスのためのプロプライエタリなアプリがどんなほかのアプリをユーザがインストールしたかを報告します。Twitterはすくなくとも見えてオプショナルのやり方でこれを実行します。ほかの人たちが実行するのと同じように悪くない、と。
サムソンのバックドアはシステム上のどんなファイルにもアクセスを提供します。
不自由なSnapchatのアプリの主な目的はユーザのコンピュータのデータの使用を制限することでしたが、監視も行います: それはユーザの、ほかの人の電話番号のリストの取得を試みます。
Brightest Flashlight(懐中電灯アプリ)は企業のために位置を含むユーザのデータを送信します。

FTCはこのアプリを批判しました。なぜなら、それは、ユーザに個人情報をアプリの開発者に送信することを承認するように問い合わせるのですが、ほかの企業に送ることを問い合わせなかったからです。これは、監視に対して、覗き見が嫌ならば拒絶するという「解法」の弱点を提示しています: どんな情報であれ誰かに懐中電灯アプリが送信するのはなぜでしょうか? 自由ソフトウェアの懐中電灯アプリは送信しないでしょうに。
(ペイ・ウォールでブロックされる記事です)はFBIが遠隔操作でアンドロイドとラップトップのGPSとマイクロフォンを有効にできる、と報告しています。 (ウィドウズのラップトップだろうと思われます。) こちらにもっと多くの情報(英語)があります。
スパイウェアは販売される時にいくつかのアンドロイドのデバイスに存在します。モトローラのいくつかの携帯電話はアンドロイドを個人情報をモトローラに送るように改修しました。
GPSのついた携帯電話はそのGPSの位置を遠隔コマンドで送り、ユーザはをれを停止できません。(合衆国は最終的にはすべての新しい携帯電話にGPSが必須となると言っています。)
FTCはほとんどの子供のためのモバイル・アプリはプライバシを尊重しないと言ってます: http://arstechnica.com/information-technology/2012/12/ftc-disclosures-severely-lacking-in-kids-mobile-appsand-its-getting-worse/.
ある製造業者はCarrier IQのような隠された一般監視パッケージを加えました。

モバイルの牢獄

「モバイルデバイス」のウィンドウズ8は牢獄です。

モバイルの暴君

いくつかのアンドロイドの携帯電話は暴君です。(誰かがその制限を破壊する方法をみつけだしましたが)。幸いなことに、多くのアンドロイドのデバイスは暴君ではありません。
ウィンドウズ8のモバイルデバイスは暴君です。