「Facebook」タグアーカイブ

Safebook – 無害化されたフェイスブック

Chrome拡張 Safebook を使うと、フェイスブックを使うことで発生し得るメンタルヘルス、プライバシー、民主主義などに関する被害を防ぐことができるそうです。

この拡張を入れてアクセスした Facebook のトップはこんな感じ。

「Safebook はコンテンツ抜き Facebookです。全ての画像、文章、動画、音声は隠されます」

テキストはそこにあり、ページ全体を選択すると読めなくもありません。投稿や検索ボックスもそこに残されていて、がんばれば発信もできるのかもしれませんが、打った文字も読めないので書き込むのもかなり困難かと思います。

しかし、作者のグロッサー氏は、この状態からテスト投稿をすることができ、そこでも多数のイイネを貰ったそうです。心温まる交流ですね。

氏はこれまでにも、新着通知や友達のイイネ数などを完全に隠してしまう Facebook Demetricatorアイコンや画像を隠して文章コンテンツだけを楽しめる Textbookイイネや怒りなど6種類のリアクションボタンをランダムに選ぶことで、Facebook や友人に感情を読み取らせなくする Go Rando、といったFacebook の使い方を変えるようなインパクトのある拡張機能を発表しています。

[動画] 現在の人気ネット企業が、もし1980年前後に存在したら

レディット, インスタグラム, グーグル, アマゾン, サウンドクラウド, ユーチューブ, ツイッター, フェイスブックらのネットの人気企業が1970-1990年代にもし存在していたとしたら、こんな企業ロゴを作っていたのでは、という動画です。

作者は、このようなレトロ風デザインを専門に請け負うデザイナーFuture Punk氏。

80年代から持ってきたような作品群ですが、現在作成されているものです。当時はいろんなところでこういうロゴを見たものですが、今の道具でこれを作ろうとすると、却って再現が難しいかもしれませんね。

動画はいい感じににじんだり、ノイズがのったりしています。音楽のほうも、当時のテレビ番組のオープニングにありそうな曲になっています。

via Geekologie

Fuzzify.me – フェイスブックでどんな広告のターゲットにされてるか一覧・管理できるブラウザ拡張

オープンソースのブラウザ拡張fuzzify.meは、Facebook が表示するターゲット広告の種類や内容を把握しやすくし、必要であればターゲットから自分を外すこともできるツールです。Mozillaフェローのハン・ド・チー・ダックさん(Hang Do Thi Duc)らが開発・公開したものです。

拡張は Firefox 向けと Chrome 向けが提供されていて、GitHub でソースコードも公開されています。拡張機能のインストールには、Facebook にアクセスした時の情報を与える必要がありますが、これは機能を考えると仕方のないところでしょう。

広告ブロッカーが入ってると動きません。また、シークレットモードでも動作しません。

拡張を入れてからフェイスブックを開くと、広告の上下に紫の線が表示されます。

数分間フェイスブックのタイムラインを眺めてからFuzzify.me のボタンを押すと、専用のタブが開き、表示された広告がずらずらと列挙されます。

それがターゲット広告であれば、広告のスポンサー名や写真・本文の他に、「フェイスブックがこの広告を自分向けに表示した理由」がグレーのボックス内に表示されます。たとえば「プロフィールや位置情報から、日本に住む18歳~60歳と判断して出した」「likeしたページやクリックした広告の種類から、テクノロジーに興味があると判断して出した」といったもの。

これらのターゲット化の根拠情報は、実は通常のFacebookサイト上で、広告の右上のメニューから「このメッセージが表示される理由」を選べば読めるものです。

この拡張機能が何か特別なことをして読めるデータというわけではないのですが、自分でどれが広告か認識し、メニューからわざわざ開いて見に行くのと、こうやって一覧して表示されるのでは、使い勝手は全く違うものになりますね。まあ、Facebook や広告主としてはあまりチェックしてほしい情報ではないのかもしれませんが。

拡張からは広告設定のページに飛び、複数の被ターゲット状態をチェックボックスでまとめて削除することもできるようになっています。

via Venture Beat

Wiredの「Facebookが顔写真認証をテスト中」は誤報のような気がする

これが発端のツイート、「フェイスブックにログインできなくなってると思ったら自撮り写真のアップロードを要求された」という体験なのですが、これをWired が取り上げて、フェイスブックが顔写真をCaptcha とした本人認証を実験中、みたいに報じ、他メディアもそれを参照する形で追ってるわけです。

しかし、7か月前にredditでまったく同じ体験が公開されていますし、フェイスブックのサポートコミュニティでも顔の映った写真をアップロードしろと出てきましたが、どうしてですか?というFAQ として公開されています。

自分の写真をすでにたくさん上げているユーザーなら、それらと同一人物か判定することも今ならできなくはないでしょうけど、写真をアップロードしたかどうかに関わらずこれは発動している(どちらかというと、二つ目のアカウントを使おうとしたら、とか、家から遠く離れたところでログインしようとしたら、とかの事例が多い)ので、AIで本人確認とかそういう高度な話ではなく、免許証のコピーをアップロードさせるとかと同じく、「スパマーやなりすましなら時間をかけて対応してこないだろう」という、以前からやってる人力確認の話ではないかなと思うんですよね。

「あなたの友達を助けて」でFacebookアカウントを乗っ取る攻撃

Accessnow が新種のフェイスブック乗っ取り攻撃の流行を警告しています。

今回流行している手法は、Facebook のヘルプにもある、「信頼できる連絡先」を使ったアカウントへのアクセス回復機能の真似をするというもの。

これは、Facebook 上で選んでおいた信頼できる友人/連絡先の協力を得て、パスワード忘れなどの時にアカウントに再アクセスするというものです。今回の攻撃は、この機能を使っている「かのように」見せかけることで別の重大な情報を奪取しようとします。

手順が図で紹介されています。

  1. 攻撃者はまず、ターゲットの知り合いのアカウントを(例えば今回の手法で)乗っ取ります
  2. 次に、ターゲットのアカウントの復活を Facebook 上で申請します
  3. Facebook は2段階認証のため、ターゲットに SMS を送ります
  4. 同時に、(1の)ターゲットの知り合いアカウントから、「アカウント復活にそのコードが必要」とメッセージします
  5. ターゲットは、SMS のコードが(自分のアカウントの再設定用ではなく)知り合いのアカウントを復活させるために必要と信じ、コードをその友人にメッセージします
  6. 攻撃者は SMS のコードを使ってターゲットの Facebook アカウントを奪取できます
  7. 攻撃者は、乗っ取ったターゲットのアカウントを使ってターゲットの知り合いに1.から同じ攻撃を繰り返します

今はまだ英語による攻撃が流行しつつある状態だそうですが、同じことは日本語でも当然できてしまうので、近いうちに同様の攻撃が届くかもしれません。

信頼できる連絡先を使ってのアカウント回復では、数名の友人にバラバラにコードが送られて繋げて使うのですが、回復に使うコードがどんなものか知らなかったり、以前に経験していても忘れてしまったりするでしょうから、友達からタイミング良く偽メッセージが来たら、うっかり教えてしまう人もいるでしょうね。

知ってると知ってないでは騙されやすさもかなり違うと思うので紹介しました。

トランプ大統領夫人のメールアドレスをFacebookから探し当てたハッカーの手法

ベルギーの「倫理的な」ハッカーが、フェイスブックのアカウント回復フォームを使って、メラニア・トランプ大統領夫人のメールアドレスを特定し、メールを送った、というニュースです。

ベルギー北部の人口8万人の町アールストを愛する Inti De Ceukelaire さん(@intidc)は、トランプ大統領のベルギー訪問にあわせて、夫人に「ベルギーのラスベガス、ただし金持ちとカジノとホテルは無い」アールストを訪問することを薦めたメールを送ったそうです。

昔からある「メールアドレスからFacebookアカウントを見つける」話ではなく、「Facebookアカウントを持ってる人のメールアドレスを当てる」話です。

必ずアドレスがわかるわけではなく、人によってはアドレスがわかってしまうかもしれないヒントが得られるということなのですが、その手順はこんな感じ。

ログインしてない状態で、「アカウントを忘れた場合」をクリックします

「アカウントを検索するには、メールアドレスまたは電話番号を入力してください。」と言われるのですが、ここでメールでも電話番号でもなく、名前を入れます。

そうすると、合致したり似ているユーザーが出てくるので、

ターゲットを選ぶと、こんな風に、アスタリスクで色々隠されたメールアドレスが表示されるというわけ。

ドメイン名の方は、@gmail.com などだとそのまま表示されるようですし、@y****.c*.jp みたいに隠されていても、よくある無料メールのドメインなら「あ、@yahoo.co.jp だなこれ」とわかることもあるでしょう。

アカウント名の方はというと、 c******8@ みたいに、先頭と最後の文字が表示されるようです。

メラニア夫人のメールアドレスがどんなものだったか、は@intidc さんもモザイクで隠しているのですが、当てることができたということは、ドメインはトランプ氏の関連のものかアメリカ政府関係のものか、あるいはgmail や yahoo mail 等のメジャーなものだったのかもしれません。

そして、アカウント名の方も、たとえば m*****a@ みたいな名前そのままとか、m*******1@ のように名前+数字数桁、が推測できるようなものだったのかもしれません。@intidc さんはスクリプトを回してメールが届くアドレスを探したようなので、後者のように総当たり可能なレベルで明らかなアカウント名だったのでしょうか。

名前等から推測できず、同じ人がツイッターやインスタグラム等別のサービスで使っているアカウントと同一でもなく、極端に短く(3文字で先頭と最後がばれたら後は簡単です)もなければ、必ずメールアドレスがばれる、という話ではなさそうですが、人によっては隠しているつもりのアドレスがまったく知らない他人に推測されてしまうこともありそうです。

via HLN.be via TheNextWeb