タグ: Superfish

LenovoのPC全機種にプレロードされているアドウェアが実は恐ろしいマルウェアだった!

Lenovoは今日(米国時間2/18)、同社の消費者向けPCの全機種に重大なセキュリティホールが見つかるという、煮え湯を飲まされた。

Lenovoの消費者向けPCのすべてに、出荷時にSuperfishというアドウェアが載っており、それは中間者証明を使ってインターネットのブラウザに広告を注入する。それが悪用されると、そのサービスが、ユーザのブラウザデータへのサードパーティアクセスを許可することになる。

今Lenovoにコメントを求めているが、まだ得られていない。

The Next Webの記事によると、1月にLenovoの社員のMark Hopkinsが、ある顧客のフォーラム上で、Lenovoが‘ヴィジュアル検索’企業のソフトウェアをプレロードしているのでは、という顧客からの嫌疑を確認している。そのときの彼の説明によると、そのソフトウェアには“ある問題が”あるので、“一時的に削除された”、という。その問題には、勝手に出現するポップアップも含まれていたようだ。Superfishに対して、市場に存在する既存のデバイスに対するアップデートを要請した、と彼は付け加えていた。

プレインストールは消費者に不評である。当然ながら彼らは、買ってきたばかりのデバイスがクリーンであることを求める。しかし一部のハードウェアメーカーは、そういうことをやってお金を稼いでいる。Superfishには、ブラウザにポップアップすることや、アンインストールする必要性などの面倒ばかりでなく、自分で署名してrootになりすまし、ユーザのWebブラウザからデータを集める、という深刻なセキュリティの脅威があるらしい。

さらにまた、サードパーティはSuperfishの証明キーを生成して、その悪質極まりない行動を自分のために利用できる。HackerNewsが、そのことを指摘している

銀行利用のためのパスワードや振込用の暗証番号などの個人データがいちばん心配だが、すでにSuperfishの問題がたくさんツイートされている中には、下図に示すような、bankofamerica.comの証明のなりすましという深刻な例もある。こういうことが、できてしまうのだ。

さらにまずいのは、Superfishのソフトウェアを削除しても、Lenoveのマシンから証明は(したがって脅威は)削除されないことだ。

Hopkinsは、PCに最初から組み込んだSuperfishにできることと、できないことを、次のように説明している:

Superfishの技術はコンテキストと画像だけを利用し、ユーザの行為行動は利用しない。すなわちそれは、ユーザの行為行動をプロファイリングしたり、モニタしたりはしない。ユーザ情報を記録しない。ユーザが誰であるかを関知しない。ユーザは追跡されないし、リターゲットされない。各セッションが独立で、他のセッションに/からデータを受け渡ししない。

しかしそれでも、ユーザのデータとセキュリティが危険にさらされているという事実が、Lenovoの顧客やセキュリティのエキスパートたちのあいだで警報として伝搬している現状は、すごく正当である。

なお、イギリス政府の諜報部門MI5とMI6は、同部門内におけるLenovo製品の使用を禁止した、と報じられている。ハッキング被害に遭いやすい、という脆弱性がその理由だ。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa))


亡くなった犬猫にそっくりの保護犬猫をマシンヴィジョンで見つけるPetMatch

亡くなった愛猫のことを、いつまでも忘れられない人。彼または彼女の写真をPetMatchに送ると、そこのアプリケーションのマシンヴィジョンのアルゴリズムが、あなたのお近くに、あなたが里親になって引き取れる保護猫を見つけてくれる。一見可愛らしいこのアプリケーションは、2000万ドルの資金を得て10数名の博士号取得者たちが、コンピュータの視覚能力を人間のそれに近づけようと努力しているSuperfishが、初めて作った消費者向けの製品だ。

PetMatchにアップロードする写真は、自分の(元)ペットのでもよいし、あるいはWebで見つけた写真でもよいし(GrumpycatやDogeなど)、PetMatchのライブラリを探してもよい。同社は、その写真に対してまず幾何学的な分析を行い、目と目のあいだの距離とか、口の角度、顔全体の形などなどを計測する。

その次にPetMatchは、全国各地の保護猫サイトの保護猫たちの画像を一堂に集めているPetFinderの猫たちに対して、同じ分析を行い、幾何学的な計測値がほぼマッチする猫をユーザの居住地の近くに見つける。そしてあなたは、これだ!と決めた猫の保護者サイトへメールまたは電話をする。

PetMatchは、まだ完璧ではない。たとえば、同じ猫でも、顔の撮影角度が違うと同じ猫とは判断できない。でもいちばん得意なのは、種の特徴のあまりない、雑種猫を見つけることのようだ。保護犬猫集積サイトとして有名なのは、PetFinderのほかにPics For PetsFidoPetangoなどがある。犬猫が行方不明になった人には、顔認識技術を利用するPiPが、お役に立つかもしれない。

“おいおい、資本金を2000万ドルも集めて、スタンフォードやMITの博士たちを集めている会社が、犬探しをやってんの?”。というわけではない。イスラエルとカリフォルニア州のパロアルトにオフィスのあるSuperfishは、2006年に創業され、Draper Fisher JurvetsonとVintage Investment Partnersから資金を調達してマシンヴィジョンの研究開発を行っている。Superfishの、eコマースの機能を拡張するiOSアプリやブラウザエクステンションは、あなたが過去に見たのとよく似た製品を見つけてくれる。このアプリは、毎月のユーザ数が1億もいる。

このアプリから得られるアフィリエイト料金で、Superfishは何年も前から黒字だ。でも今回は、このような単独で使える(eコマースなどに依存しない)アプリケーションで、自分たちの技術を世に知らしめようとしているのだ。ペットの次に同社が計画しているのは、ジュエリーや家具を見つけるアプリケーションだ。ヴィジュアル検索は今、スタートアップの世界でホットなテーマになりつつある。たとえばSlyceは今年1050万ドルを調達したし、PinterestはVisualGraphを買収した。今後Superfishがどこかの巨大テク企業に買収されても、不思議ではない。

Superfishの協同ファウンダでCEOのAdi Pinhasによると、同社の目標は、“どの携帯にも付いているカメラの、使い方を一変させること”だ。多くの人の携帯〜スマホは、写真をいっぱい撮ってそれらがカメラロールの中で埃をかぶっている。しかしSuperfishは、そのカメラのレンズを物知りロボットの目に変えて、あなたが見たいもの、やりたいこと、買いたいもの、などを教えてくれるのだ。そんなの気持ち悪い、と思う人もいるだろうけど、でもPetMatchを見たかぎりでは、コンピュータヴィジョンは今よりももっと優しい世界を作ることに、貢献してくれそうだ。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa))