カナダのトロント大学に拠点を置く研究機関Citizen Labは現地時間2016年3月28日、中国Tencent Holdings(騰訊控股)のWebブラウザー「QQ Browser」が脆弱なセキュリティ環境下でデータ伝送を行っているとの調査結果を発表した。
Citizen Labによると、QQ BrowserのWindows版とAndroid版はQQサーバーに送信するユーザー情報に対して、容易に解読できる暗号化を使用するか、あるいはまったく暗号化を実行していない。このため、ソフトウエアアップデートの際、脆弱性を突かれて任意のコードを実行される危険性がある。
Android版ではIMEI、IMSI、近辺のWi-Fiアクセスポイント、アドレスバーに入力された検索キーワード、訪問したWebページのURL、Android IDを、Windows版では訪問サイトのURL、ハードドライブのシリアル番号、MACアドレス、マシンのホストネームといった情報を、セキュリティが脆弱な状態で送信しているという。
Citizen LabはWindows版のバージョン9.2.5478とAndroid版バージョン6.3.01920においてこの脆弱性を確認し、2月5日にTencentに報告した。Tencentは3月14日にWindows版の最新バージョン(9.3.6872)を、3月2日にAndroid版の最新バージョン(6.4.2.2075)をリリースしたが、Citizen Labが分析したところ、一部の脆弱性は修正されていたものの、まだ放置されたセキュリティホールがあった。
セキュリティの脆弱性だけでなく、「なぜQQ Browserがこれほど多くのユーザー情報を収集してるのか大きな疑問を感じる」とのCitizen Labディレクターの言葉を米Wall Street Journal(閲覧には有料登録が必要)は伝えている。中国では今年、新たな「反テロ法」が施行され、通信事業者やインターネットサービスプロバイダーはデータの解読などで当局への協力が義務づけられている。
[発表資料へ]
