【IME】入力した情報を勝手に送信　「キーロガー」スマホ向けキーボードアプリにご用心

【IME】入力した情報を勝手に送信　「キーロガー」スマホ向けキーボードアプリにご用心 at NEWSPLUS

1:サーバル ★
19/07/02 17:00:35.62 kFDMUknk9.net
キーワードロガーとして機能するオメガ社のキーボードSDKとその採用アプリ
2019/06/25 13:07
アドテク企業・オメガ株式会社のカスタムキーボード/キーボードSDKを採用するアプリ（ANYTYPE、moppyキーボード、USAVICHキーボード、瞬間日記、PUSH!、PicoSweet）の通信内容をパケットキャプチャにより解析・考察する。
結論としては、予め指定された特定のキーワードを入力した事実がオメガ社のサーバに随時送信されていた。キーロガーならぬキーワードロガーとでも呼ぶべきものだろう。これにより、オメガ社はユーザーの使用アプリ名称と入力内容の一部または全部（個人情報、機密情報、機微情報を含む）を知得できる状態にあった。
経緯
発端は高木浩光氏へのタレコミである。
所構わず営業を仕掛けるだけならば行儀の悪い企業によくある話だが、このときAmazon S3で公開されていたオメガ社のオメガキーボード説明資料が注目を集める。
この資料によれば、オメガ社が開発するキーボードSDKを自社アプリに組み込めば、ユーザーの入力内容や使用アプリ情報を収集できるという。こうした機能は一般に「キーロガー」と呼ばれ、ユーザーの同意なく実行されればスパイウェアであることから、スマートフォン利用者らに不安が広がった。
同様の懸念は過去に百度の「Baidu IME」「Simeji」で現実のものとなっており、キーボードアプリへの信頼を揺るがす一大事に発展している。
早速有志によってオメガ社のプレスリリースから提携先の特定が進められ、そのうちの一つ「moppyキーボード」で文字コードらしきもの（詳細は後述）が送信されていることが確認される。
だが、文字コードにしてはいささか奇妙である。実際にmitmproxyでオメガキーボードの通信内容をパケットキャプチャした結果、幾つかの事実が判明した。
送信されているのは「キーワード」
オメガキーボード採用アプリは起動時に約9万行のキーワードリストをオメガ社のサーバ(URLﾘﾝｸ(a.omega-adnetwork.com))からJSON形式で取得しており、これには広告入札キーワードと思われる文字列とそれに対応するキーワードIDが列挙されていた。
通信内容と照合した結果、アプリから送信されていたのは文字コードではなくこのキーワードIDであることが判明した。キーワードIDが分かるということは、キーワードを逆引きすることもできるので、キーワードを送信していることと同義である。
文字入力確定の度に、形態素解析か何かで文字列をキーワード単位に分解。キーワードリストと照合して、合致するものがあれば、そのキーワードIDのリストをオメガ社のサーバに送信。合致するものがなければ、何も送信せず、汎用広告を取得、キーボード上部に表示するというロジックのようだ。
(続きはソース)
URLﾘﾝｸ(note.mu)

レスを読む