イーロン・マスクのXChatは、iOSとAndroid向けの独自のエンド・ツー・エンド暗号化アプリで、WhatsAppやSignalに挑もうとしている。
XChatのiOSアプリは米国時間4月27日の提供開始が予定されており、アカウントを持っていればXのダイレクトメッセージ機能を利用できる。Android版の提供開始日はまだ決まっていない。
Xを使っているなら、連絡先と手軽にやり取りするためにXChatを試してみたくなるかもしれない。だが、プライバシーとセキュリティの観点から、XChatアプリは安全なのだろうか。一部の専門家は「そうではない」と指摘する。
セキュリティ研究者のトミー・ミスクは、XにAppleのiOSプライバシーラベルを投稿し、XChatが収集する情報を詳述した。「広告なし。トラッキングなし。完全なエンド・ツー・エンド暗号化。だが、これだけのデータを収集している」と彼は述べている。
筆者はXにコメントを求めており、同社が回答した場合は本稿を更新する。
XChatはどのようなデータを収集し、プライバシーにどう影響するのか
XChatは既存のXアカウントを必要とする。そのため、Endor LabsのCEO兼創業者であるヴァルン・バドワールによれば、ユーザーの身元、デバイス情報、IP、そして親プラットフォーム上での行動履歴は「最初のメッセージを送る前から、すでにグラフの一部になっている」という。
2つの懸念点が際立っているとバドワールは言う。「鍵はXのサーバー上にある。Xはユーザーの暗号化用の秘密鍵を自社インフラに保管しており、4桁のPINで保護している。X自身も、この構成によって『悪意のある内部者、あるいはX自身』が会話にアクセスできる可能性があることを認めている。これは驚くべき告白であり、エンド・ツー・エンド暗号化という主張が、数学ではなくXのポリシーに依存していることを意味する」
さらに、画像のメタデータが削除されない点も問題だ。バドワールによれば、XChatで送信された画像はGPS座標やカメラの詳細情報を保持するとの報告がある。「メッセージ本文が暗号化されていても、共有した写真が位置情報やデバイスのフィンガープリントを漏らし得る」と彼は警告する。
XChatはメッセージの内容を暗号化するものの、アプリのプライバシー通知を確認すると、メタデータや利用アクティビティを含む「複数種類のデータ」を収集していることがわかると、IT・データ法を専門とするFreethsのパートナー、ルーク・ディクソンはいう。
