AppStoreのアカウントが盗まれ、開発したアプリが勝手に譲渡される事件が発生? 6
ストーリー by hylom
App-Storeの闇 部門より
App-Storeの闇 部門より
あるAnonymous Coward 曰く、
AppleのApp Storeには、開発したアプリを他社や他の開発者に譲渡できる機能があるそうなのだが、この機能を悪用し、不正に入手したアプリ開発者の情報を使って不正にアプリを奪うという事例が発生しているという(GameCast、ITmedia)。
この事例が特に問題なのが、譲渡機能が使われた場合アプリの登録名やURLはそのままで販売者側情報だけが書き換えられるため、ユーザー側からはアプリが奪われたことが認識しずらいという点だ。
また、今回の事件では、アプリを「盗んだ」側の手口も悪質だ。GameCastによると、このアプリを盗んだ業者は既存アプリの「偽物」を販売している業者だとのことだが、この業者は「アプリの売り上げを管理する」という、「Sales And Trends Apps」というアプリを提供していた。このアプリを利用するためには、App Storeでのコンテンツ販売やその管理を行うための「iTunes Connect」のアカウント情報を入力する必要があるとのことで、今回アプリが盗まれた開発者はこのアプリにこれらの情報を入力していたという。アプリを盗んだ業者側は、このアプリを使って開発者のアカウントを入手し、不正にアプリの譲渡を実行したと見られている。
サードパーティに認証情報をあずけるリスク (スコア:1)
認証情報をサードパーティにあずけるリスクをITに詳しいと思われるアプリ開発者でも軽視してしまうわけですね。
便利だからとホイホイ情報を渡してしまう危うさ。
自分はいくら便利でもわたさないわ。なのでMailboxとかMoneyTreeとかSunrise(Calendar)なども当然使ってない。
100歩譲ってローカルアプリに保存して完結するならいいけど、あっち側(クラウド)にわたしてあっち側で情報収集する、っていうのは無理だわ。
もちろん、アカウントのものにもよるし、アプリ開発者にもよる。
今回のような見知らぬ開発者なら絶対ありえない。
パスワード管理ソフトも同様で、名の知れたベンダーじゃないと、裏で何してるかわからないから危険。
Re: (スコア:0)
>なのでMailboxとか
アプリ連携するからって認証情報は渡してませんよ、仕組み勘違いしてませんか?
Re: (スコア:0)
最初からアプリ連携だったっけ?アカウント情報聞いてきたと記憶してるので自分は使ってないですが。Gmailについてはね。
あと、少なくともiCloudはアプリ連携対応してないのでAppleアカウントを渡さないといけないですよ?
Re: (スコア:0)
Moneytreeに関して言えば、閲覧権限だけなので、
お金を不正におろされてりすることはないと思います。
内容は見られてるかもしれないですけどね。
×認識しずらい (スコア:1)
○認識しづらい
え??え??え!? (スコア:0)
その問題となっているSales And Trends Appsは
itunes.apple.comで健在なのに
リンクまで貼ってあげる親切記事に脱帽です
冤罪の可能性があるから閉鎖されていないのかな
だとしたら記事は断定度合いは強すぎですよね
# まぁ東スポ並でセーフではあるんでしょうけれど