更新情報: Wacom の公式タブレット ドライバーは、接続されているコンピューター上で開かれたすべてのアプリケーションの名前と、そのアプリケーションが開かれた時間を製造元に漏らします。
ソフトウェア エンジニアの Robert Heaton 氏は、自分の製図板の細則に、事実上 Wacom に彼を監視する許可を与えるプライバシー ポリシーが含まれていることに気付き、このことを発見しました。
さらに詳しく調べてみると、タブレットのドライバーがApple Macで開いたアプリをすべて記録し、そのデータをGoogleに送信して分析させていることがわかりました。念のため言っておきますが、ここで言及しているのはワコムのmacOSドライバーです。オープンソースのLinux用ドライバーは影響を受けませんが、Windows用ドライバーは影響を受けるようです。
「私はごく普通の人間なので、プライバシーポリシーを読むことは滅多にありません。その代わりに、できるだけ早く契約の相手方であるゲーム、マシン、あるいは医療アドバイスにたどり着くために、『はい』ボタンを勢いよく連打します」とヒートン氏は本日早朝に述べた。
「しかし、ワコムの要求を聞いて、私は考え直しました。本質的にはマウスであるデバイスに、なぜプライバシーポリシーが必要なのでしょうか?」
キルスイッチ
Burp Suiteを起動してネットワークトラフィックを監視したところ、周辺機器のmacOSドライバがwacom.comサーバー上のXMLファイルの存在を照会し、このファイルが存在する場合、ソフトウェアは起動中のアプリケーションの通知をWacomのGoogle Analyticsアカウントに送信することを発見しました。XMLファイルが存在しない場合、ドライバはGoogleに詳細情報を送信せず、ログに「Analyticsはローカルまたはサーバーのキルスイッチによって無効になっています」という重要な行を記録します。つまり、このXMLファイルはキルスイッチとして機能していたのです。
興味深いことに、このコードを調べていた Heaton 氏は、XML がしばらく消えてから、興味深いイースター エッグを含む XML が再び現れたことに気づきました。<hi>Rick</hi>
このスヌーピングを無効にしたい場合は、Wacom Desktop Centerを開き、少し隠れた「その他」リンクを見つけてクリックし、プライバシー設定に移動して「Wacomエクスペリエンスプログラム」をオプトアウトしてください。ただし、このデータ収集はデフォルトで有効になっているため、ドライバーのインストールを更新した後に再度オプトアウトする必要がある場合があります。
Chromeは本当にインストールID番号を使ってGoogleサイト上で密かにユーザーを監視しているのか?真実を明かす
続きを読む
ワコムは、顧客が自社のハードウェアと一緒にどのアプリケーションを使用しているかを把握するために、この情報を収集しているようです。どのアプリケーションが人気があり、どのアプリケーションがよく使用されているかなど、おそらく製品の改善に役立てているのでしょう。Google Analyticsでは、どのアプリケーションが開かれたかなど、個々のユーザーのアクティビティを調査できますが、ID番号を使用して個人を特定できないようにしています。IPアドレスなどの個人を特定できる情報まで掘り下げることはできません。データは集計して分析され、どのプログラムがいつ実行されているかを把握できます。
ワコムの広報担当者はコメントに応じなかった。
「ワコムが記録していたイベントの中には、『ドライバーの起動』や『ドライバーのシャットダウン』など、おそらく彼らの権限内だったものもある」とヒートン氏は指摘した。
「私にとって何のメリットもないので、彼らにこの情報を取得させたくはありません。しかし、彼らの試みは概ね正当化できるように感じます。さらに説明が必要なのは、ワコムがなぜ私が新しいアプリケーションを開くたびに、時刻、おそらく私を一意に識別する文字列、そしてアプリケーション名を含む情報を記録することを許容できると考えているのかということです。」
この文字列は、ユーザーごとの識別子ではなく、ワコムの Google Analytics アカウント番号であると考えられます。
「人々は、この特定の追跡を無効にして、今後のワコムのプライバシーポリシーをより注意深く読むべきだと思います」と彼はエル・レグ紙に語った。
「ワコムがデータを必要としているのはほぼ確実で、明らかに悪意のある行為をするつもりはないが、だからといって彼らがデータを取得することが許されるわけではない。」®
追加更新
Wacom は以下の声明を発表しました。
Wacomがソフトウェアドライバーを通じてデータを収集するのは、品質保証と開発目的のみです。これはハードウェアメーカーやソフトウェア開発者にとって標準的な手順です。当社は匿名化された集計データのみを収集するため、個々のユーザーを特定したり特定したりすることはできません。
データはワコムの機種、使用されるペンの機能、そしてデバイス使用時にアクティブになっているソフトウェアアプリケーションの名前に限定されます。ご指摘のとおり、ユーザーはワコム製品の機能やパフォーマンスに影響を与えることなく、いつでもオプトアウトすることができます。
