Apple、個人情報を盗むアプリを大量削除 48
ストーリー by hylom
審査をスルーする手法が増えてきた模様 部門より
審査をスルーする手法が増えてきた模様 部門より
あるAnonymous Coward 曰く、
Appleがメールアドレスやインストールされているアプリ一覧などを不正に収集するiOSアプリ256個をApp Storeから削除したとのこと。これらのアプリは中国のYoumi社が提供するSDKを使用していたという(Engadget Japanese)。
App Storeではリリースの際に審査があり、本来であればこういったアプリは却下されるはずであるが、YoumiのSDKでは巧妙にこれらの審査から機能を隠すようになっていたようだ。また、アプリ開発者側もこのSDKがこのような機能を持っているとは知らずに使っていた可能性が高いという。
左手は右手のしていることを知らない (スコア:2)
登録前に十分審査をして、不正なアプリはAppleストアにきっちり登録させないようにできたらいいのに。
と思ったら、
>・・・YoumiのSDKでは巧妙にこれらの審査から機能を隠すようになっていたようだ。
審査してたけど漏れてて、今回発覚したんスね。
趣旨は違うけどこの間のニュースを思い出した。
米中首脳会談後も米企業にサイバー攻撃、米セキュリティ会社が報告
http://itpro.nikkeibp.co.jp/atcl/news/15/102003436/ [nikkeibp.co.jp]
海洋でも情報戦でも首脳が約束しようとも、中華的侵攻は停められない。
たぶんに組織がでかすぎるというか深くて末端まで浸透するのにも時間がかかるんだろうなぁ。
Re: (スコア:0)
この手のSDKに細工があるよーなやつってAndroidはどーなんスかね?
Re:左手は右手のしていることを知らない (スコア:1, 興味深い)
> この手のSDKに細工があるよーなやつってAndroidはどーなんスかね?
SDKに小細工をしている理由が
「Appleが安全安全と叫ぶよりどころにしているアプリ審査をすり抜けること」にあるという観点が重要です。
Androidの場合そもそもその前提がないため、
わざわざSDKに小細工をする理由が大幅に少ないとは言えるでしょう。
Appleは「利用者が適切な警戒をする権利」すら剥奪して偽の安心を売りつけているのに対し、
そんな誇大広告をしていないAndroidのほうが
「利用者が適切な警戒をすることができる」という面で非常に健全ということです。
Re: (スコア:0)
巧妙にすり抜ける小細工をしている=「Appleが安全安全と叫ぶよりどころにしているアプリ審査をすり抜けること」
SDKに細工をしている=「デベロッパを騙してマルウエアを潜り込ませる」
Androidの場合、SDKに「小細工」をする必要はないが SDKに「細工」をする必要はある。
Re:左手は右手のしていることを知らない (スコア:2, すばらしい洞察)
> SDKに細工をしている=「デベロッパを騙してマルウエアを潜り込ませる」
> Androidの場合、SDKに「小細工」をする必要はないが SDKに「細工」をする必要はある。
意味不明。
SDKに細工をするもなにも、単に「信用できないSDKを使った開発者が馬鹿なだけ」だ。
そこにAndroidもないもない。どんな開発プラットフォームでも同じ話だ。
iOSだってMacだって同じ。
今回問題なのは、
「そういう細工されたSDKで開発されたアプリでも本来はAppleが喧伝している審査でブロックされるはず」だったのが
まったくされなかったこと。
Appleだけが完全に詐欺ということ以外の何物でもなく、他社に対して矛先向けることなんてできないよ。
そのうえで
> Androidの場合、SDKに「小細工」をする必要はないが SDKに「細工」をする必要はある。
なにこの意味不明の言葉遊び?
日本語がまともに使えないカタコトの人?
Re: (スコア:0)
何でも「詐欺」っていう人って「詐欺」の意味知ってるんだろうか?
Re:左手は右手のしていることを知らない (スコア:1)
Re: (スコア:0)
審査をすり抜けるための追加要素がある(マルウェア部分が普通にリンクされず標準ライブラリに紛れる)
からiOS標的の偽SDKの方がもう一手間余分に小細工されてるって違いが「細工と小細工」の違いなんだろ
Re:左手は右手のしていることを知らない (スコア:1)
巷で騒がれてるのはほとんどが中国の野良Market(=中華ガラパゴス世界)だけど、Google Playにも時々お行儀の悪い奴は出てきてる
一応GooglePlayはアップ時にウイルスチェック的な自動チェックは走ってて明らかに怪しい奴は蹴られたり人力チェックに回されたりするけど基本ザル
一応要求されているパーミッションはちゃんと見ましょうくらいかな?
iOSはセキュリティソフト自体を禁じてることもあって第三者による調査がほとんど行われてなくて、どちらかというとiOSの方が実態不明
氷山がどのくらいでかいのかも誰にも分からない
隠しAPIを使うと跳ねられるのもリフレクション使うとバレないし、時限式で審査中だけ機能を殺すテクなんか日本製のゲームでも普通に使われてる有様
ぶっちゃけAppleの審査って、UIがガイドラインに沿ってるかとか、Appleのビジネスと競合してないかとか、落ちないかとかは厳しくチェックされるけど、セキュリティ審査はザル
つーかセキュリティの事前チェックなんて技術的に無理ってのはAppStore立ち上がった当初から言われてるんだよね
Re: (スコア:0)
Androidは例外と考える理由は特にない。
Re: (スコア:0)
つまりANDROIDは安全ということですね
Re: (スコア:0)
>この手のSDKに細工があるよーなやつってAndroidはどーなんスかね?
http://www.symantec.com/connect/ja/blogs/ios-android [symantec.com]
Re: (スコア:0)
巧妙に隠して審査漏れ、っていうのは当然あり得ることだけど、
これをきっちり見つけ出すには、おそらくもっと時間と検知プログラムの開発が必要になるだろうけど、
それやってたら、たぶん今以上にレビューの時間がかかって、申請からストアに並ぶまで数週間かかるようになっちゃうのかも。
審査を通ればいいけど、落ちたらさらに数週間待ちとかだとやっとれんわな。
現状で1週間少々かかるぽいし。
マーケティングとして、ほとんど何も加えてないけど「アップデートしてるアピール」やユーザーの目に留めるために無駄にアップデート回数を増やしてる糞アプリとか消えればいいんだろうけどなぁ。
Re:左手は右手のしていることを知らない (スコア:2, すばらしい洞察)
> 巧妙に隠して審査漏れ、っていうのは当然あり得ることだけど、
> これをきっちり見つけ出すには、おそらくもっと時間と検知プログラムの開発が必要になるだろうけど、
> それやってたら、たぶん今以上にレビューの時間がかかって、申請からストアに並ぶまで数週間かかるようになっちゃうのかも。
> 審査を通ればいいけど、落ちたらさらに数週間待ちとかだとやっとれんわな。
> 現状で1週間少々かかるぽいし。
開発者の観点ではなく
「Appleはしっかり審査してるからiOSは安全!!」という「Appleの」論調を本当に成立させたいなら実際にそうするべき、
というかそうしなければいけません。
それをしていない現状がすでに完全な詐欺です。
Re: (スコア:0)
>巧妙に隠して審査漏れ、っていうのは当然あり得ることだけど、
そここそセキュリティ機能の構成として重要な所じゃん。
頭に「ウイルス」と付いているウイルスソフトしか検知できないアンチウイルスソフトとかどう思うか?って疑問が。
それでも「それをやっていたら重くなったり更新ファイルを作るのが間に合わなかったりするのかも」で良いのか?と。
実際の機能を隠し、審査をくぐりぬける (スコア:2)
>YoumiのSDKでは巧妙にこれらの審査から機能を隠すようになっていた
それは Defeat Device の一種と言ってもいいのかな。
Re: (スコア:0)
というか「審査から隠すことができる」時点で論外。
「Appleが審査してるからiOSは安心!!」という意見が
完全に間違っているということが証明された以上、
「Appleが審査してるからiOSは安心!!という意見は危険!!iOSにも危険性はたくさんあります」
という正しい情報を徹底的に周知するようにAppleは対応しなきゃいけないのが筋。
もちろんAppleがそんなことするわけないけど。
Re: (スコア:0)
そもそも一切審査されてないAndroidよりは安全なんじゃね?
Re: (スコア:0)
と思われてしまう分だけ危なくね?
Re: (スコア:0)
アンドロはユーザーが権限を審査できる。
「完全なインターネットアクセス」「連絡先データの読み取り」が同時に存在しないか、とか。
Re: (スコア:0)
Androidでも「連絡先の読み取りを許可せずにアプリを使用する」ことが出来るようになったんでしたっけ。
良いところは互いに真似しあってどんどん改善していって欲しいですね。
Re: (スコア:0)
iOSアプリは初回連絡先読み取り時に確認メッセージでますよ
審査はザル (スコア:0)
だったということですねえ
Re: (スコア:0)
具体的にどうすべきだったと?
マシン語レベルでデバッグすべきだった?
Re:審査はザル (スコア:1)
> マシン語レベルでデバッグすべきだった?
Apple自身が「審査してるからiOSは安全!!」と叫んでる以上、それが必要ならやらなければなりません。
Apple信者は必死に目をそらしてますがAppleが詐欺行為を行っていることがそもそもの問題です。
>iOSアプリ256個をApp Storeから削除 (スコア:0)
8bitまでしか数えられないとかじゃ、ないよね? ぐ、偶然だぞ?
Re: (スコア:0)
0個はないから、1-256個か。うん
# キリいいねって書こうと思って来た
だから違うだろと (スコア:0, すばらしい洞察)
「AppStoreに大量の個人情報を盗むアプリが掲載されていると判明、ずさんな審査を行っていたAppleは対応に追われる」
が正しいだろ
なんでそこをすっ飛ばして
「あたかも問題はすでに解決しているかのように」「Appleの審査責任については気づかれないように」書くんだよ?
どんだけApple信仰で頭腐ってんだ?
Re: (スコア:0)
ストーリー by hylom
Re: (スコア:0)
こういうトピックの時だけ、得意の誤字脱字が全く出てこないという不思議さ。
Re: (スコア:0)
アプリを全数、全範囲静的解析できるのかって本質的問題がある
アプリストアといわぬまでも、うpろだでもひとつ運営してみるといい
あぽーだろうがぐぐるだろうがMSだろうが、これは叩きづらいだろ
つかAppleに何を期待してるんだよ
Appleの審査責任を問うってことは、Appleに期待してるってことだよな?
MSあたりと混同してないか、法人向け製品を出してる企業じゃないんだぞ
Re: (スコア:0)
> アプリを全数、全範囲静的解析できるのかって本質的問題がある
できてないのに「審査してるから安全」かのように謳ってるAppleが全面的に悪いだけ。
> つかAppleに何を期待してるんだよ
> Appleの審査責任を問うってことは、Appleに期待してるってことだよな?
期待しているどうこう以前に「悪弊は良貨を駆逐する」から放置することは全世界についての問題。
Appleが自主的な改善の出来ない本質的に腐った企業なら周囲が叩いて治すか追い出すかする必要がある。
Re: (スコア:0)
泥や窓といっしょにすんなよ
泥や窓に失礼だぞ
Appleは別格なんだ、あれはおもちゃにすぎん
Re: (スコア:0)
いや元コメはAppleに対する批判じゃなくて
タレこみやスラド含めたメディアの取り上げ方に対する批判だろ?
その本質的問題とやらもわからなくもないがAppleによる審査があったうえでストアに並んでしまった以上それは法人向けだとかに関わらずAppleの責任もあるでしょう
Re: (スコア:0)
むしろ、Appleストア以外からアプリをインスコできないのだから、他のだれも責任とりようがない。
具体的なアプリの名前は? (スコア:0)
どうして発表しないの?
Re: (スコア:0)
「Android向けでも出ているアプリならAndroidも危険と叫んで公表するが、iOS向けしかないなら公表しないほうが得と判断する」
「問題のアプリが多くダウンロードされていればされているほど公表しないほうが得と判断する」
Re: (スコア:0)
発表したら、アップルにいいことあるの?
発表してもしなくても信心の心は揺らぎません。
そう、カルト信者ならね。
#「なんら対策を打てない状況で、」(不正に個人情報を収集するアプリを)こんなにたくさんの中から選んだことも、
#こんなに簡単にダウンロードしたことも、そしてこんなふうに楽しんだこともきっとないはず。
#そう、iPhone以外ではね
ほとんどが該当するんじゃないの? (スコア:0)
Androidもほとんどが "フリー" = "個人情報で購入" だし
Re: (スコア:0)
Androidの方がiOSと比べると権限管理が厳格なのでユーザーにバレやすいってのはあったりする
セキュリティソフト売りたい皆さんが目を光らせてるからなおさら発覚が早い
一方のiOSは審査一旦通してしまえばほぼ何でも有りで一般のユーザーが自衛する手段が事実上無い
一昔前のiOSなんて電話帳すら確認無しでブッコ抜き放題でフリー上位100のアプリを抜き打ちチェックしたら1割近くが電話帳抜いてたほど
Re: (スコア:0)
一昔前のiOSなんて電話帳すら確認無しでブッコ抜き放題
iOS5のころはそうでしたね。
ずいぶん前のことのような気がしていましたが、ほんの3年前までは確認も無しで読み放題だったんですね。
Re: (スコア:0)
AndroidというかGoogleアカウントは本来それを承知して使うものでしょうが、Appleユーザーは同じように考えてくれてますかね?
Re: (スコア:0)
> Androidもほとんどが "フリー" = "個人情報で購入" だし
iOSは「カネ払った上に個人情報も抜かれる」なのでAndroidのほうが良心的ですね。
プライベートAPI (スコア:0)
元記事を読むとプライベートAPI(非公開API)が使われていたことが書いてありますが、iOSってプライベートAPIを使うと個人情報を黙って取得することができるということでしょうか?
プライベートAPIが使われているかどうかを調べるのってかなり難しい気がするのですけど、どうなのでしょう?
Re: (スコア:0)
Re: (スコア:0)
関数呼び出しは基本はアドレスの呼び出しなのですから、偽装して動的にアドレスを作成すれば静的検査では見つからないでしょう。ASLR(アドレスをランダムにする仕組み)があるので、ある程度は回避できそうですが。
簡単に調べられるのに今回の問題が見つけられなかったとしたら、Appleの審査がザルすぎることになります。
安全なんて無い (スコア:0)
中国のアプリは中華圏内だけで配信すれば、安全ってことだなw
審査もしてないアプリよりは少しマシな程度って思ってたけど?
Winとか泥のストアには中華なゴミアプリが沢山あるから、入れるとき気を遣うんだよね。
Winもゴミアプリが少なかったらもう少し何とかなりそうだけど、放置だろうな。
Re: (スコア:0)
それはそれで単なる馬鹿だ。
危険なアプリは何処製のでも有り得る。
日本製だろうがアメリカ製だろうが実例には事欠かない。