ブラウザアプリ「Smooz」は閲覧したサイトの情報を外部に送信している

2020年12月21日

更新日：2020年12月27日

追記：2020年12月23日、Smooz は本問題に関連してサービス終了を発表。

ブラウザアプリ「Smooz」が、ユーザーの開いた URL や検索した単語、閲覧したウェブサイトのタイトルや説明文、内容などを既定で外部に送信しており、しかもプライベートモードを利用したり、情報提供設定をオフにしても送信し続けていたことが、maxi (@rel0005) 氏の検証記事により判明した。

本記事では、この事件についてまとめる。

注意：筆者は直接 Smooz をインストールして検証するといったことはしていません。ここに記述される情報は基本的に外部の情報源を読みまとめたものです。

「Smooz」の概要

「Smooz(スムーズ)」は、日本の「アスツール株式会社(Astool Inc.)」(CEO: 加藤雄一)によって開発されているスマートフォン用ブラウザアプリである。2016年9月26日から提供されており、「App Store Best of 2016」を受賞したことがある。

既定の設定で、設定・操作・閲覧情報がユーザー ID 、デバイス ID と共にアスツール社のサーバーへ送信される (20201217発覚)
検索窓に入力した文字列が、検索ボタンを押さずとも、逐一アスツール社のサーバーへ送信される (20201217発覚)
検索内容がアダルト関連ワードかどうかがアスツール社のサーバーに送信され判定される (20201217発覚)
サービス利用データの提供設定をオフにしても、閲覧情報がアスツール社のサーバーに送信される (20201217発覚)
プライベートモードにしても、閲覧情報がアスツール社のサーバーに送信される (20201217発覚)
https 通信であろうとも閲覧した URL が完全な形でアスツール社のサーバーに送信される (20201217発覚)
「おすすめ記事機能(既定で有効)」が有効な状態だと、ml.api.smoozapp.com に対して、「ユーザー ID 、ユーザーが閲覧しているウェブサイトの URL 、タイトル、説明文、内容の一部」の5項目が送信される (20201220発覚)
上記の情報送信は、ログインが必要なページでも内容も含めて送信が行われ、場合によっては個人情報が送信される (20201220発覚)

以下時刻表記は、JST(UTC+9)。