読者です 読者をやめる 読者になる 読者になる

とりかごとなり。

Mozilla Thunderbirdに関する個人的な備忘録とか設定とか。トラシュー時の対処や考え方が基本路線です。

基本操作はThunderbird全般、何か困った! の時はトラシュー基本をどうぞ。
そのほかのカテゴリーは右サイドから。

WOT(Web of Trust)がやばい、というお話

Firefox アドオン

(2017/01/26追記)この記事は2016年11月時点の話です。その後WOT側がプライバシーポリシーとオプトアウトとを改訂した件について書きました→WOTのプライバシーポリシーとオプトアウト - とりかごとなり。

そもそもの発端は
HTTP Headers という 5万人が使っている Chrome 拡張のマルウェア疑惑。セッション盗まれて BTC も盗まれそうになった話。 - clock-up-blog
Chrome拡張のHTTP Headersでマルウェア疑惑がほぼ黒、という話をみて、「やばいやばいVivaldiに入ってる」と思い速攻削除したのですが、はてブコメントで「WOT(Web of Trust)もやばい」
apppppp コッチよりも百万人以上が導入している Wot機能拡張 の方がもっとヤバイことを知った。
とか
asyst 気になって拡張機能見直したら、Web of Trust がブラウザ履歴販売してるという情報が出ててきた。 https://addons.mozilla.org/ja/firefox/addon/wot-safe-browsing-tool/reviews/

なる話をみて「ふぎゃぁぁぁ」状態。

WOT使ってるよ!めっちゃ使ってる!
普段はVivaldiFirefoxの2面使いですけど、両方に入ってる。
本当なら新聞1面トップで周知してもいいくらいの重大情報。

早速addons.mozilla.orgのサイトを見てみると…
1ページ目
2ページ目
3ページ目
4ページ目
5ページ目

5ページ目の途中に至るまで延々と★1が並んでます…
(ページ数は11/3 20:00時点のもの/その後削除済)*1

Chromeのストアレビューはこちら。(「すべての言語」にしないとでてこない)
WOT: Web of Trust, Website Reputation Ratings - Chrome Web Store

やけにドイツ語のレビューが多いと思ったら、元となる記事がドイツ語だった様子。
Millionen Surf-Profile: Daten stammen angeblich auch von Browser-Addon WOT | heise online
Browser-Erweiterung gibt Daten weiter: "Web of Trust" späht Nutzer aus | tagesschau.de

読めない…(´・ω・`)
仕方がないのでぐぐる機械翻訳にかけてみると、heise onlineの冒頭部分

Die detaillierten Daten zum Surfverhalten von Millionen Deutschen, auf die NDR-Reporter Zugriff haben, stammen offenbar auch von der beliebten Browser-Erweiterung WOT. Die damit gesammelten Daten seien leicht bestimmten Personen zuzuordnen.

 の意味は

どうやら人気のあるブラウザの拡張WOTから発信NDRレポーターアクセスで、ドイツ人の何百万もの閲覧行動に関する詳細なデータ。このようにして集めたデータを簡単に特定の個人に割り当てられています

 とあって非常にヤバい。本来の意味でやばい。

しかしドイツ語を逐次機械翻訳で読むの辛いので何か…とおもっていたら、addons.mozilla.orgのレビューの中で英語の解説があった。
Nackt im Netz: Millionen Nutzer ausgespäht | NDR.de - Nachrichten - Netzwelt

Google翻訳(一部)らしい。
https://addons.mozilla.org/ja/firefox/addon/wot-safe-browsing-tool/reviews/826504/

"In the searches of the NDR a browser extension of the company "Web of Trust" (WOT) occurred. WOT offers a service that is designed to help the user navigate securely: the extension checks the integrity of web pages, evaluates pages visited by a traffic light system with regard to security.
In the background, however, the extension also logs and transmits the data for the surfing behavior of the user to a server abroad. A profile is created where the date, time, location and controlled web address are stored together with a user ID. These data then go to intermediaries. From one of these intermediaries, Panorama and ZAPP got their record."

と書いてある。超要約すると、

WOTはユーザの安全性に役立つサービスを提供する一方で、裏ではユーザのネットサーフィンのログ取りをし、海外サーバへ送信していた。日時・場所・管理されたwebアドレス(と伴にユーザID)のプロファイルが作られ、これらのデータは仲介人に渡る。仲介人の一つはPanorama and ZAPPで、これらの記録を得る。

ということらしい。

ドイツ語原文は記事の中盤、多分ここの部分。

In den Recherchen des NDR fiel etwa eine Browser-Erweiterung der Firma "Web of Trust" (WOT) auf. WOT bietet eigentlich einen Service an, der dem Nutzer dabei helfen soll, sicher zu surfen: Die Erweiterung prüft die Integrität von Webseiten, bewertet besuchte Seiten anhand eines Ampel-Systems im Hinblick auf Sicherheit.

Im Hintergrund protokolliert und übermittelt die Erweiterung aber auch die Daten zum Surf-Verhalten des Nutzers an einen Server im Ausland. Dort wird ein Profil erstellt, bei dem Datum, Uhrzeit, Ort und angesteuerte Web-Adresse gemeinsam mit einer Nutzer-Kennung abgespeichert werden. Diese Daten gehen dann an Zwischenhändler. Von einem dieser Zwischenhändler haben Panorama und ZAPP ihren Datensatz bezogen.

 なんだそれ、きーてない。
この、「きーてねーよ」はドイツでも同じように思ったらしく、heise onlineの記事内でも以下の文章が。

Hamburgs Datenschutzbeauftragter Johannes Caspar hat das Geschäftsgebaren von WOT nach dem Bericht nun kritisiert. Zwar sei es grundsätzlich zulässig, personenbezogene Daten weiterzugeben, dem müssten die betroffenen Nutzer aber zustimmen. Zu solch einer Einwilligung sei es aber unerlässlich, dass die Nutzer wüssten, wozu sie zustimmen. Das sei bei WOT nicht der Fall. Immerhin werde behauptet, dass die Daten nicht personenbezogen seien, was ja nicht stimme. Die massive Auswertung dieser Daten sei damit nach deutschem Recht nicht erlaubt. Das hinter WOT stehende Unternehmen hat sich noch nicht zu den Vorwürfen geäußert.

 「個人データの開示にはユーザの許可が不可欠だけどWOTは違うよね、やってないじゃん」
(Zwar sei es grundsätzlich zulässig, personenbezogene Daten weiterzugeben, dem müssten die betroffenen Nutzer aber zustimmen. Zu solch einer Einwilligung sei es aber unerlässlich, dass die Nutzer wüssten, wozu sie zustimmen. Das sei bei WOT nicht der Fall. }
といったことが書かれています。また、これらが入手した個人データではないことは事実として合っていない*2と主張している
(Immerhin werde behauptet, dass die Daten nicht personenbezogen seien, was ja nicht stimme)
ようです。

ともかく、こんな重大事実がわかったとなればさっさとアンインストールするのが吉。
アドオンのレビューでも「速攻削除しろ」といったコメントが続いてます。

WOTってニュースサイトとかでも「ブラウザ入れたら入れておけ」的な扱いだったように思ったのに、どこでどうなってしまったのか。
特にここは「ユーザの安全守ります」な看板だったはず。何がどうしてこうなった。

アドオンそのものに有害コードが混ざったなどと違い、この手のデータの扱いって外からはほとんど気付けない。
一般ユーザの自衛ってどうしたらよいのか…

*1:あまりに壮観だったのに魚拓は取り損ねました。ローカルには保存したけど。

*2:当初「WOTはこれらが個人データではない、合っていないと主張している」と書いてたんですが修正