GrapheneOSの利用者が、GrapheneOSを使っていることを理由に当局へ通報された

 (discuss.grapheneos.org)
2 ポイント 投稿者 GN⁺ 3 시간 전 | 1件のコメント | WhatsAppで共有
  • GrapheneOS は、セキュリティとプライバシー保護機能を強化した OS であり、Yoti のカスタマーサポート応答のキャプチャにある「GrapheneOS を実行している端末を自動的にフラグ付けし、当局およびセキュリティチームへ自動報告する」という文言が論争の発端
  • 中核的な懸念は、年齢・本人確認サービスが GrapheneOS の利用自体を通報理由にするなら、プライバシー重視の OS が 高リスクのシグナル として扱われかねない点
  • アプリは標準 API、メモリ検査、Hardware Attestation API、Play Integrity を通じて OS と端末モデルを識別でき、これをアプリ側から隠す現実的な方法はない
  • 反論としては、カスタマーサポート担当者の誇張された発言だけでディストピア的な未来を予測するのは難しく、Yoti が GrapheneOS を特定して検出・遮断したというより、Google Mobile Services を使っていないことを検知した可能性のほうが高いという見方
  • 実用的な対応としては、機微データ を入れない安価または旧型の stock Android 端末を本人確認・政府系アプリ専用に分けて持ち、本人確認を要求する製品の購入自体を再考する方法

事案の提起と初期反応

  • Yoti 関連のカスタマーサポート体験キャプチャには、「Yoti が GrapheneOS を実行している端末を自動的にフラグ付けし、該当事例を当局とセキュリティチームへ自動報告する」という文言
  • あわせて共有された Reddit スレッド では、Yoti の年齢確認プロセスで GrapheneOS の利用が問題視されたという体験と結び付けられている
  • 問題提起の焦点は、GrapheneOS が Yoti のようなサービスに識別・区別され、サービス側がそれを法執行機関への通報理由とみなすなら、年齢・本人確認が拡大する環境において GrapheneOS の利用自体が「heatscore」になり得るという懸念
  • 一部の反応では、Sony が年齢確認パートナーを変更してほしいという期待があったが、その可能性は極めて低いとの見方
  • 英国における年齢・本人確認の流れと関連法制度を、オーウェル的・ディストピア的だと受け止める反応もある

GrapheneOS の識別可能性

  • GrapheneOS 端末は、広範なエクスプロイト緩和機能のため fingerprint 可能 だという説明
    • 例として、他のシステムにはない secure exec spawning のような保護機能がサイドチャネルになり得るとの指摘
  • アプリは Hardware Attestation API を要求し、verifiedBootKey を GrapheneOS boot keys と照合することで GrapheneOS を検出できる
  • 別の説明では、アプリは標準 API を使うか、自身のメモリを検査することで、実行中の OS を容易に検出できるとされる
    • この検出は、GrapheneOS がプライバシー・セキュリティ保護機能を追加していることだけが理由ではなく、Android の OEM ごとの OS の違いや、実行中の端末モデルの識別も可能だという説明
    広告
  • Play Integrity は、Google 認証ハードウェア上で Google 認証済み stock OS が動作しているかを確認でき、内部的に Hardware Attestation API も利用しており、将来的にはその利用を必須化する予定だという説明
  • ハードウェアアクセラレーションのない仮想マシン上で、すべてのアプリを同一 OS で実行すれば、端末モデルやベアメタルのホスト OS を隠せるが、GrapheneOS だけがその方式を使っても GrapheneOS 自体は隠せないという限界
    • 多くのアプリは、仮想化・エミュレーション・その他の改変と見なせる形態を検出しようとしており、Play Integrity API の主目的の一つもそれらを検出して禁止することだという説明

Yoti の対応をめぐる評価と反論

  • ある批判では、年齢確認業者が、実際にセキュリティとプライバシーを改善するプロジェクトに敵対的な態度を取ることがあり、カスタマーサポートの応答は、セキュリティやプライバシーを犯罪者専用のものとみなす無知な態度だと評されている
  • 別の懸念としては、ユーザーが GrapheneOS から機微な書類をアップロードした後になって初めて、通報対象の身元が知られることになり、Proton のメールボックスの匿名性が失われた可能性があるとの推測
  • 強い反論としては、この事例はカスタマーサポート担当者の突飛な発言に基づく恐怖の煽りにすぎないという見方
    • GrapheneOS の利用は違法ではなく、担当者がチケットを閉じるために話を作った可能性が非常に高いという判断
    • Yoti が GrapheneOS を特定して検出したり使用を禁じたりした可能性は低く、無改変の Google Mobile Services OS を使っていないことを検知した可能性のほうが高いという判断
  • 単一のカスタマーサポート担当者の発言だけでディストピア的未来を予測するのは大きな飛躍だという反応もある

対応提案と用途の分離

  • 実用的な対応として、機微データを入れない安価または旧型の stock Android スマートフォンを別途用意しようという提案
    • 連絡先、個人的な会話のあるメール、メッセンジャーアプリなどを入れない構成
    • 本人確認や、強制される可能性のある政府系アプリ専用の「パスポート」のような端末としてのみ使う方法
    広告
  • GrapheneOS 端末は一般用途すべてに使いつつ、身元証明には使わないという分離運用の提案
  • ゲーム機1台のために特定業者へ本人確認を行うことに価値があるのか、改めて考えるべきだという助言
  • 企業が望まない行動を要求するなら、その製品を買わないという mature decision が必要だという主張
  • ゲーム、動画配信、成人向けコンテンツがプライバシーや尊厳より優先されるのかを問い、識別を求められるなら別の趣味を探そうという提案
  • 年齢確認や Google アプリ必須化のような流れを押し戻すため、立法者に連絡すべきだという提案

検証への疑念と周辺事例

  • セキュリティ、プライバシー、匿名性は犯罪者のためのものだという前提を持つ人が多い、という反応
    • 法執行機関で働く知人が、GrapheneOS の利用者を見て犯罪者しか使わないものだと思って驚いたが、その理由は自分が見た利用者が犯罪者だけだったからだという事例
    • GrapheneOS が何であり、なぜ使うのか、そしてなぜ最高の OS だと思うのかを説明したという話
  • 職場で、Tor の exit IP やメール aliasing ドメインを全面ブロックしないよう強く説得しなければならなかったという事例
  • 「犯罪者だけが寝室を壁の後ろに隠す」という比喩で、プライバシーを犯罪性と結び付ける発想を批判
  • 法執行機関の従事者は、職業と象徴性ゆえにより大きな標的になり得るため、GrapheneOS の利点をより大きく受けられるという反応
  • あわせて引用された Hacker News コメント では、Reddit の元投稿者が年齢確認、回避、プライバシー関連の投稿を多数行っており、プロフィールも隠していたことから疑念が示されている
    • 同じコメントでは、企業のメール応答キャプチャは容易に編集できるため、話そのものを確信できないという立場
    • 年齢確認業者であれば、ブロックされたユーザーに検出理由を共有しないはずであり、それは秘密のソースのレシピを教えるようなものだという判断

関連記事

1件のコメント

 
GN⁺ 3 시간 전
Hacker News の意見

  • この Reddit 投稿の OP は年齢確認、回避、プライバシー関連の投稿を数多くしていて、今は非表示にしている。スレッドでもその点を指摘されるとプロフィールを隠したが、「reddit PaiDuck」でググればまだ見られる
    だからといってこの会社が正しかったという意味ではないが、この人物は複数の 年齢確認会社 を相手に、どこまで回避の試みを押し進められるか試していてブロックされたようにも見える。会社のメール返信もスクリーンショット化される前に簡単に編集できるので、話そのものが本当なのかも確信しにくい。自分が年齢確認会社を運営しているなら、ブロックされたユーザーに何が原因で捕まったのかは絶対に教えない。それは秘伝のレシピを共有するのと同じだ

    • 会社の担当者は、GrapheneOS を使うすべてのユーザーを追加条件なしで通報すると言っていた。おそらく個人情報をアップロードした後だろうし、まさにそこが 著しく不当だ
    • 人々が自分の履歴を隠せるようにしたのは、本当に悪い判断だったと思う
      https://arctic-shift.photon-reddit.com/search

  • 「おい君、その OS の免許は持ってるのか?」
    この話で驚くべきなのは、ユーザーが警察の訪問を受けて「非犯罪サイバーセキュリティ事件」として起訴されなかったことだけだ。イギリスは本当に ひどい国 になってしまった

    • その通り。警察は誰にでもパスワードを要求でき、渡さなければ刑務所に送れる
      自分は訪問したくない。アメリカにも欠点は多いが、他国と比べれば市民権の面ではかなり強い権利がある
    • これこそ本当の最終目標であり、プライバシーとの戦い で自分が最も恐れている部分だ。将来的には、プライバシーの権利を主張しようとする試み自体が疑いの根拠になりうる
    • https://www.openbsd.org/lyrics.html#35
    • イギリス人が否認する様子を見るのは本当に笑える
    • 「おい君、その OS の免許は持ってるのか?」みたいなのは本当にやめてほしい

  • 当局が自分の Hacker News アカウント を持っていると知ったら終わりだ

    • 高校のとき、友人に見せようと思って The Hacker's Dictionary を持って行ったら、先生がそれを見た
      数週間後にハッキング事件が起きた。すべての教師がアクセスできた生徒成績の共有スプレッドシートが改ざんされ、一部の生徒の成績は上がり、別の生徒の成績は下がった。自分は成績が上がった側にいて、仲の良くなかったやつらは下がった側にいた。調査中にすぐ帰宅させられたが、結局何も起きなかった
      数年後、友人が音楽教師のパスワードを突き止めた高度な手法を明かしたが、それはキーボードの下の付箋に書かれた「bassoon」を見ただけだった
    • 実話だ。2022 年にオーストラリアの自宅が警察の家宅捜索を受けた。8 か月後、押収された機器を引き取りに来てよいと言われ、そのとき担当警官が怪しいと見ていた項目を教えてくれた
      1. MEGA の使用。CSAM の共有に使われるからだという
      2. 仮想マシンの使用
      3. 「自分のコンピューターに Tor がある」。意味不明だが、本当にそう言った
        彼らは本当に何も分かっていない。どれだけ理解していないかを過小評価してはいけない。無害だと説明しても、彼らには有罪の自白のように聞こえる可能性が高い
        目が覚めるような経験で、この件以降、自分と親族のかなり多くが法執行機関の 能力 をはるかに尊重しなくなった
    • 他国のハッカソンに行ったとき、国境審査官にその名前をどう説明するか心配だった。幸いその話題は出なかった

  • この情報源が、記者が自分の評判を懸けて事実確認すべきニュースサイトではなく、テキストのスクリーンショットにリンクした Reddit 投稿だという点はひとまず置いておこう
    誰でもどんな理由でも誰かを「当局」に通報できる。だからといって、名前も出ていない当局が実際に動くという意味ではない。しかも、これがいたずらでないのなら、Yoti がどの 治安機関 にこうした通報を送っているのか明示しないのもかなり奇妙だ

    • 「記者が自分の評判を懸けるべきニュースサイト」って、最近のたいていの「記者」の評判を見たことがあるのか? イギリスの新聞の中には Reddit や Mumsnet のようなフォーラム投稿をそのまま再掲載するところがよくある

  • あの返信は定型文から生成されたように見えるし、「当局に通報された」の部分も、sudo が同じことを言うのと同程度に事実である可能性が高い

  • https://postimg.cc/3kVXKzhk

    • sudo については https://xkcd.com/838/
    • sudo は実際にデフォルトでそうする。自分のマシンで自分が認証に失敗したせいで自分宛てにメール報告が来るのは本当に嫌だ

  • 主張をもう少し詳しく見ると、Yoti の実際のメッセージはこうだった
    「過去のセキュリティ上の懸念により、Yoti は複数回の認証試行と GrapheneOS を実行しているすべてのデバイスに自動でフラグを立てます。こうした事例は当局とセキュリティチームの双方に自動報告されます。」
    続けて、
    「残念ながら、この特定のデバイスでは複数回の試行があったため、アカウントは不審な活動としてフラグ付けされました。」
    すると "and" はタイプミスのように見える。でなければ、そもそも GrapheneOS デバイスで 2 回以上試行することをシステムが許していなかったはずだ
    つまり、GrapheneOS デバイス で複数回認証を試みるとアカウントにフラグが立つという意味だ

    • GrapheneOS が次世代 OS として認められたことを祝おう。古い Android や OS X だったら、ただの混乱したベビーブーマー扱いだっただろう

  • 過去15年間、西側メディアはあれほど「中国」と叫び続けてきたのに、こんなことが西側で起き、中国ではどんなOSを使っても不利益なしに自由でいられるというのは驚きだ。なぜなんだ? 何が起きているんだ?

    • 中国はまったく別次元の統制をしている。好きなモバイルOSを使えるのは、彼らがあらゆるインターネット接続を監視し、何をダウンロードしているかを把握し、不適切だと判断したコンテンツをすべて遮断でき、しかも不服を申し立てる手段がほとんどないからだ。さらに、人を逮捕して労働収容所に送ることもできる。
      ここで英国警察の行動を擁護するつもりはないが、「中国と同じくらい悪い」という決まり文句はよく見かけるものの、たいていは当てはまらない
    • 中国に関する部分は事実ではないが、西側諸国が実際よりはるかに自由だと装っているのはその通りだ。
      中国でXiを批判したり抗議したりできないなら、その他の世界で法律を批判したり抗議したりしてみればいい。特にプライバシーの名目で行われていることがそうで、英国がFacebookの投稿を理由に人々を刑務所に送ったことを覚えている。そんなことは第三世界の国で起きることだ。
      英国はもともと大した取り柄もなく、米国も今や同じことをしているので非常に恐ろしい。
      どの国に旅行する前でも、今ではまず自分のソーシャルアカウントを確認し、空港で検査されうる内容を削除している。こんなことは先進国では起きないと思われていた。
      友人たちはまだそこまで悪くないと言うが、ここ数年、毎月一度こういう投稿をHNで読むのはただただ怖い
    • 西側50か国では誰も気にせず、例外である英国がオンライン治安で妙なことをしているだけかもしれない。英国でも裁判所はそんな理由で刑を言い渡しておらず、聞こえてくるのは警察の措置だけだ。
      英国はBrexit後、ひどく衰退していて、おそらく大衆騒擾を恐れているのだろう。
      中国では反体制活動をすれば再教育収容所に送られる。あるいは、中国の事件は単に予想どおりすぎてニュース価値がないだけかもしれない
    • そもそも「西側は善、中国は悪」などという単純な話だったことはない。
      米国政府が押し進めたそのプロパガンダ構図はほぼ1世紀にわたってよく機能したが、もうそうではない

  • その記事のコメントで、誰かがGrapheneOSがアプリによってどう識別されうるかなどに関する長いFAQをリンクしていた [1]。なぜ可能な限りあらゆる場所で純正Android/Googleであるかのように偽装しようとしないのか理解できない。
    [1] https://grapheneos.org/faq#:~:text=Apps%20can%20detect%20tha...

    • 目標は代替OSの使用を当たり前のものにすることだ。迂回策を探して問題提起をしない瞬間、相手の立場を受け入れることになり、結局は迂回策も尽きることになる。
      「Yを通じてまだXができるのだから、削除されたわけではない」という類いの返答は、企業が閉鎖的エコシステムを強化する話でよく、時には最上位コメントにまで現れる。目先の解決策は与えても、核心の問題は解決しない。そうなってほしくない
    • それは無意味だろう。use-after-free脆弱性の緩和策が有効になっていれば、アプリは実際に解放後使用を試みてその存在を確認できる。緩和策に気づかれないようにする唯一の方法は、それを無効化することだけだ
    • GrapheneOSはユーザーのプライバシーとセキュリティを高めることに注力しているのであって、問題を起こす0.01%のアプリを欺くことに注力しているわけではない。
      それはかなりの投資を要するいたちごっこであり、むしろさらに怪しく見える可能性がある。採用を増やして企業がこうした愚かな判断をしにくくするほうがよい。顧客から言及された後、ハードウェア認証でGrapheneOS対応を明示的に追加した銀行アプリも見たことがある。
      専用の検出回避ブラウザですら継続的にブロックされ、パッチが必要になる。GrapheneOSに注力してほしい領域ではない
    • 表面的な偽装は無意味だ。気にするアプリなら単にPlay Integrity APIを使えばよく、GrapheneOSはそれを偽装できない。
      0: https://developer.android.com/google/play/integrity/overview
    • GrapheneOSチームはセキュリティを真剣に扱っており、偽装は実際にはブロックを正当化しかねない。
      https://grapheneos.org/articles/attestation-compatibility-gu... より:

      GrapheneOS not only upholds the app security model but substantially reinforces it, so it cannot be justified with reasoning based on security, anti-fraud, etc.

  • インターネットも詐欺に使えるのだから、インターネット利用者を全員当局に通報したほうがよさそうだ

    • その通り。車を所有したり運転したりすれば犯罪者に違いないということも忘れないようにしよう。車は重大犯罪の逃走車両に使われるのだから
    • ふと思ったのだが、突然、処理しきれないほど通報が殺到したらどうなるんだろう? すべてのGrapheneOSユーザーがそのアプリをインストールして通報されるようにし、さらにボットや偽アカウントまで追加したら?
    • バックドアのないOSを使う人の大半は詐欺師ではないが、インターネットを使っているという理由だけで詐欺師だとみなすよりは、わずかに高い確率で当たるかもしれない
    • こういうことを言っているのか? https://en.wikipedia.org/wiki/Collection_of_Internet_Connect...

  • 新たな海賊行為の時代が近づいている。彼らが「収益」を理由に泣き叫ぶとき、今の日々が思い出されるだろう

    • どうかそれを海賊行為と呼ばないでほしい。そうするとこちらが泥棒のように聞こえる。
      これは大規模監視と癌のように肥大化した国家に対する抵抗だ。むしろ市民の義務に近い
    • どういう意味だ?