EQはイクス株式会社または有限会社ダイチ製です

概要

 とっかかりは、高木さんのこのtweet。

 そして、某氏が引っ掛けてきたtweetがこれ。 

 即座に思いつくのはリワード広告である。もしiOS Appであれば検証しようと思い、Safari on OS XでアクセスしてみるとSafariが黙り込むという事態になったが、某氏がFirefoxで検証したところEQというAndroidアプリに行き着いた。
 しかし、Android端末を所有していないわたしには検証等ができないので、App Storeを検索してみたところ、同じ名称のiOS版 当時はver.1.2を発見した。

App StoreとGoogle Playでの名義について

 まず、EQの販売業者はTOYOTA MARKETING JAPAN CORPORATIONとあり、App StoreのTOYOTA MARKETING JAPAN CORPORATION Webサイトは正しく株式会社トヨタマーケッティングジャパンのWebサイトにリンクされているが、その下に©Daichi.Nという表記がある。

 しかし、Google PlayのEQの作成者のリストからリンクされているWebサイトはというと、作成者ではなくEQの説明サイトにリンクされているが、cmドメインを使っていること自体が胡散臭いといわざるを得ない。

 そこで、eq.cmなるドメインをwhoisしてみると、イクス株式会社なので、販売者名義は株式会社トヨタマーケッティングジャパンだが、実装はイクス株式会社であることになる。

 ここでおかしいのは、Andorid版はイクス株式会社製であるのに対し、iOS版はDaichi.N名であることである。 改めて、イクス株式会社の会社概要を見てみると、社長さんは野田大智さんだという。

 続けて、社長名でググってみると有限会社ダイチが引っ掛かった。

 同社の会社概要を見ると、会長名は間違いなく同姓同名なのだが、検索避けするためか画像になっている。そして、子会社の欄に「イクス株式会社」が記述してあるが、これもまた画像になっているという、会長名と子会社の隠蔽を謀りたがるとてもおもしろい会社である。

 つまり、Android版もiOS版も名義は違えど、イクス株式会社が実装したことが類推できる。

検証

Ver.1.2を検証

 起動して驚かされるのは、異常といえるほどの大量の個人属性情報を入力させられることだ。

SS1
SS2
SS3
SS4
SS5
SS6

 その後、これらの情報をeqs-apps.appspot.comへ送信する旨の断りなど画面遷移上は、一切ない

通信

 案の定、UDIDをeqs-apps.appspot.com(173.194.72.141)へ投げており、appspot.comはGppgle App Engine関連のサイトであるため、ユーザー視点からすると、株式会社トヨタマーケッティングジャパンではなくイクス株式会社への無断第三者送信を行うクソAppといえる。

 いちおう、Appからリンクされていたプライバシーポリシー利用規約を提示しておく。

Ver.2検証

 その後、2012.04.11にVer.2.0にアップデートされたので再度検証するも、生UDIDからMACアドレスのUTF-8読みに変更しただけというクソぶりを再確認しただけに終わる。

通信v2

トヨタ自動車さんに問い合わせ

 このようにユーザーからすると、意図して隠蔽された動作をするものについては、実装会社や名義貸ししている会社に問い合わせても梨の礫になることが一般的(明治に関しては本社に問い合わせても梨の礫だったが)である。

 そこで、トヨタ自動車の問い合わせフォームから、問い合わせてみた。

TOYOTA1

 2012.04.19 16:11に回答が到着しました。

TOYOTA2

 Ver.2検証のようにUIIDなるIDとMACアドレスを同一のPUSHで送信しているのだから、「MACアドレスとユーザプロファイルの登録」は紐付いている。これを理解できない三河の世襲自動車会社のエンジニアはクソとしかいいようがない。

 また、MACアドレスは一般的に変更されることなく使用されるため、端末所有者が変わった場合は、前の所有者のアカウントをそのまま意図せずに使ってしまうという脆弱性があることも認識できないようだ。これは、いったんEQを削除し、再度ダウンロードし、起動してみたところ属性情報入力の画面遷移にならなかったことから、MACアドレスによるかんたんログインになっていることを示している。

広告
EQはイクス株式会社または有限会社ダイチ製です