ハボリテ

胡乱の羅列

Blue MailとかTypeAppって使って大丈夫なの?という話

※筆者はインターネットセキュリティ・アプリ開発については素人であり、以下の内容は憶測を多分に含みます。悪しからず。

Androidのメールアプリにおいて、Google Playの上位に出てくる人気アプリの中に「Blue Mail」「TypeApp(旧Type Mail)」というメールアプリがあります。この二つのアプリ、名前こそ違いますが中身は瓜二つ、というかほぼ完全に同じです(確かにちょこちょこデザインは違いますが、もはや間違い探しレベル)。
  
いずれにせよ洗練されたデザインと多彩な機能で人気を博しており、インストール数は二つ合わせると600万超。これは、かの老舗メーラーの雄「K-9 Mail」をも凌ぐ多さです。

私も一時期愛用していたのですが、なんとなく気になることがあり・・・というかぶっちゃけ「怪しくね?」と思う部分があり、その点つらつら述べさせて頂きたい次第です。

運営体制が不明瞭

冒頭で述べた通り、恐ろしくクリソツな「Blue Mail」と「TypeApp」。しかし、Google Playでは開発元はそれぞれ「Blue Mail Inc.」「TypeApp Inc.」となっており、一見異なる会社が運営しているように見えます。ホームページも別。
https://bluemail.info/
TypeApp | Home
しかしながら、↓のブログによるとやはり同じ会社が管理している様子。
TypeMail と BlueMail (2)|ぼな日記
というか、TypeApp社のホームページにはちょこちょこ表記ゆれのような形で「Blue Mail」という表記が紛れ込んでおり、完全に同じ会社ですね。いや別に1つの会社が2つ同じようなアプリを作っても何も悪いことは無いんですが、なんだか意図的に別会社による別アプリだと認識させようとしている節があり、薄気味悪さを感じるんですよね。TypeAppの方が単なる後継ということであれば別にいいんですが、その割には2つとも頻繁に更新されているし。

会社の所在地が怪しい

TypeApp社のホームぺージには、会社の所在地についても記載があります。
TypeApps | Contact Us
それによると、拠点は「1540 Market Street, San Francisco CA 94102」とこと。この場所をGoogleストリートビューで見てみると、以下の通り。

この右手にある建物がそうらしいのですが、明らかにオフィスらしき外見ではない。調べてみると、この建物はアーティスト団体のスタジオとして使われているっぽい。
https://hoodline.com/2015/06/artspan-secures-market-street-studio-space-for-25-local-artists
いや、ホントにここで開発してるかもしれませんが・・・、ホントか?

騒がれた過去がある

まぁこれが一番気になる点ですね。
Dieser Artikel ist nicht mehr online - mobilsicher.de
HPには「your passwords are never stored on our servers」と記述されているのですが、専門家がテストを行ったところ、実際にはユーザーのパスワードをBlue Mail Inc. 社のサーバーに送信する挙動が確認されたとのこと(ハッシュ化されておらず、単に暗号化されたもの)。メールサービス提供側の体制がどうであれ、ユーザーのパスワードが(復号可能な形で)メーラーのサーバーに保存される必要性は全く無く、悪意ある挙動と言われても仕方ありません。他にも送信元・送信先とメールの内容についてもBlue Mail側に送信されている、との記述がありました。一応Blue Mail社は「not true and misleading」であるとして反論しており、このテストが公開された後のアップデートによって本挙動は削除されたとのことですが、個人的には今後も信頼することは難しい気がします。ちなみに、このテストによれば「myMail」や「Mail.Ru」など他の人気メールアプリの中にも同様の挙動を示すものがあったとのことです・・・。

Privacy Policyが不穏

これも正しく読めているか自信は無いのですが・・・。Blue MailのHPには、個人情報の取り扱いについて以下のように記載されています。

"Blue Mail is designed to help you manage your email account with other providers, like Gmail. When you link your email accounts (provided by third parties) to Blue Mail, you give Blue Mail permission to securely access your information contained in or associated with those accounts. If you link your third party account to Blue Mail, that third party may also pass certain information along about your use of its service. While Blue Mail usually does not store your password to these email accounts, the service may securely store some emails on a temporary basis in order to deliver them to you as quickly as possible and keep track of your deferred messages."

"Blue Mailは、Gmail等の他のプロバイダの電子メールアカウントの管理を支援するように設計されています。 Blue Mailにあなたの電子メールアカウントをリンクすると、あなたのアカウントに含まれている、およびあなたのアカウントに関連した情報に安全にアクセスする権限をBlue Mailに与えることになります。 電子メールアカウントをBlue Mailにリンクする場合、その電子メールサービスの提供元はあなたのアカウントに関する情報をBlue Mailに渡すことがあります。 通常、Blue Mailはこれらの電子メールアカウントにパスワードを保存しませんが、できるだけ迅速に配信し、遅延メッセージを追跡するために、電子メールを一時的に安全に保存することがあります。"

いや、なんか権限強くない?たぶんユーザーがメールアプリに与えたい権限は、メールの送受信を代行することだけであって、「アカウントに含まれている、および関連した情報にアクセスする」というのはやりすぎな気がするのですが。
例えばK-9 mailの場合、Privacy Policyには以下のように記述されています。

"Sensitive user information is only used to perform the basic functionality of the app, sending and receiving email. K-9 Mail does not automatically collect and send data to the developers of the app or any third party.

"ユーザーの機密情報は、電子メールの送受信に際してのアプリの基本機能を実行するためだけに使用されます。 K-9 Mailが自動的にデータを収集して、本アプリの開発者や第三者に内容を送信することはありません。 "



・・・
以上のように、結構気になる点があったので、駄文を垂れ流した次第です。この問題、英語サイトだと結構話題になっているんですが、日本語のサイトでこの問題について扱っているサイトがあまり見当たらなかったので。
ただ、Blue Mail, TypeApp固有の問題ではなさそうですし、冒頭で述べた通り、あくまでも素人の憶測が多分に含まれているので、詳しい方がいればぜひ見解を伺えれば幸いです。