パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

Apple、iOS 5ではアプリのデバイス固有ID利用を禁止へ」記事へのコメント

  • by Anonymous Coward on 2011年08月22日 23時56分 (#2007505)
    住基ネットや国民総背番号制推進派の方々が多かったように思いますし、
    そういう方達はもちろん、UDIDに温存派ですよね。
    それとも、政府がやるのには賛成だけど、民間企業には反対?
    • by Anonymous Coward on 2011年08月23日 0時05分 (#2007511)

      >住基ネットや国民総背番号制推進派の方々が多かったように思いますし、
      >そういう方達はもちろん、UDIDに温存派ですよね。

      問題の程度が違いますね。

      たとえば、国民を識別できる番号について
      「第三者が勝手に他人の番号を割り出すことができ、またそれを集めることもできる」
      としたら問題でしょう。

      UDIDについて言えば、そのような状態です。
      IOSアプリはUDIDを抜き放題で、オマケにアドレス帳なども抜き放題。
      外部送信も勝手にできます
      (「利用者確認のダイアログを出すこと」などの指針にはみな従っていません)。

      ですので、UDIDとアドレス帳をセットで抜かれてしまえば、
      前述
      「第三者が勝手に他人の番号を割り出すことができ、またそれを集めることもできる」
      が簡単に遂行できます。

      その点で、国民背番号制などとは問題のレベルが違います。
      IOSのセキュリティはとっくの昔から崩壊しているのですから。

      親コメント
      • by Anonymous Coward

        ちょっと待った
        >(「利用者確認のダイアログを出すこと」などの指針にはみな従っていません)。

        なんでそんなソフトがチェックに引っかからないの?
        Big Brotherは個人の思想^H^H情報管理をしたいわけだから,自身が規約に引っかからない
        ようにするため?

        #妄想だろうけど,位置情報を密かに集めていて,大事になってからバグだと言い逃れを
        した前歴はあるから,疑う価値は十分にあります.しかも,うちのデバイスからは,
        そのバグが削除されてないし.

        • by Anonymous Coward on 2011年08月23日 0時41分 (#2007534)

          >なんでそんなソフトがチェックに引っかからないの?
          >Big Brotherは個人の思想^H^H情報管理をしたいわけだから,
          >自身が規約に引っかからないようにするため?

          まず、「確認ダイアログを出すのが基本方針」程度であれば、
          完全ブッチしてもAppleの審査は通ります。
          この辺は正直Appleもあまり見てないのが実情でしょう。
          アドレス帳を全部ぶっこ抜いて外部送信するのも簡単です。

          その先として、本来は審査を通らないはずのマルチタスクAPIなどを使ったって
          Appleの審査を誤魔化す手段はたくさんあります。
          なにせ、「提出されたバイナリをブラックボックステストする」だけですからね。

          たとえば、時限式で審査終わった後に仕込んだ動作を開始させてもいいですし、
          特定サーバにアクセスしたときに
          サーバ上に特定のキーファイルが置かれていたら仕込んだ動作を開始
          (=Appleの審査のときには動作しないようにする)などでもいいわけです。

          親コメント
          • by Anonymous Coward

            ま、ランタイムでAPIを権限管理するような機構も無くバイナリ提出受けて実機でテストしても何一つ担保されない、ってのは当たり前なんだけどね。
            原理的にチェックできないし、だからチェックしてないし、そもそもチェックする気もないっしょ。
            Jobsがチェックしましたと言えばチェックしたと客は思ってる。だから逆説的に言って、本当にチェックする必要が無い。本質的に客は「安心」を求めてるのであって「安全」を求めてるわけじゃないんだよね。

            セキュリティソフトを完全に締め出せばセキュリティ会社に見向きもされなくなる、みたいな画期的なセキュリティ対策も鋭意実施中。おかげでセキュリティ会社はiPhoneの話は一切しない。BlackHatでは毎回iPhoneネタ大盛況だけど一般人の目に触れなければOKと。

            • by Anonymous Coward

              禁止APIについては使用するとApple側のツールチェックで引っかかって
              リジェクトされるはず、検索するとそれでリジェクトされたって経験が出てくるわけですが。

              >>原理的にチェックできないし、だからチェックしてないし、そもそもチェックする気もないっしょ。
              原理的にって・・・具体的にどういう事か説明できますか?

              • by Anonymous Coward

                横からです。

                禁止APIについては使用するとApple側のツールチェックで引っかかって
                リジェクトされるはず、検索するとそれでリジェクトされたって経験が出てくるわけですが。

                リジェクトされなかった、もしくは「後から」リジェクトされた、というケースも多く見かけるはずです。
                これはとりもなおさず、監査ツールによるチェックが行われて自動的に撥ねるようになっているわけではなく、何らかの条件で(人力で)抜き打ちチェックしていることになります。

                「原理的」の部分については元ACがどういう意味で言っているかは分かりませんが、とりあえずiOSはサンドボッ

              • by Anonymous Coward
                最後には呼ばなければならないので、全く無力ってこともなかろ。
              • by Anonymous Coward

                うん、それが出来たら苦労はないんだけどね。
                AndroidとかWindowsPhoneと違ってそこで監視出来ないからiOSはセキュリティ脆弱って言われてるんだわ。

              • by Anonymous Coward

                >最後には呼ばなければならないので、全く無力ってこともなかろ。

                最初から触れられていますが、たとえば
                ・時限式で審査のときはそもそもコードが動かない
                ・悪意あるコードが実行する隠しメソッド名などは外部サーバから取得、それも後日になって
                などとされると、
                Appleが審査する時点では悪意あるコードの痕跡が一切存在しません
                (上記のようなやり方はある程度対策されはじめました。
                 が、他の手口はまだ大量にあり、実際には悪意あるアプリまみれなのが現状です)。

                ですので、審査は通り公開もされます。

                「最後には呼ばれるのだから~」ということが効果を発揮するのは、
                散々利用者のiOS端末の中を荒らし盗み回されたあと、
                Appleがふと追試をしたときですね。

          • by Anonymous Coward
            >まず、「確認ダイアログを出すのが基本方針」程度であれば、
            >完全ブッチしてもAppleの審査は通ります。

            ・「確認ダイアログを出すのが基本方針」程度なので、完全ブッチしてもAppleの審査は通ります
            ・「確認ダイアログを出すのが基本方針」程度であれば、完全ブッチしてもAppleの審査は通るのではないでしょうか
            のどちらかならいいたいことが分かるのですが、
            ・「確認ダイアログを出すのが基本方針」程度であれば、完全ブッチしてもAppleの審査は通ります。
            だと、何をいいたいのかわかりません。

            >なにせ、「提出されたバイナリをブラックボックステストする」だけですからね。
            コン
            • by Anonymous Coward on 2011年08月23日 16時07分 (#2008004)

              横から失礼。
              iOSはAPI呼び出しをランタイムで監査するサンドボックス機構がありません。そしてAPIコールは容易に難読化することが出来ます。Objective-Cは実行時に動的解決できる言語なので尚更です。
              うーん、つまりですね。例えばWindowsでもMacでもLinuxでもいいんですが、APIに対してサンドボックス化が一切使えないという前提下において、未知のウィルスを静的解析のみで検知できますか、というのと同じことなんですよ。現在のウィルス検出技術は、既知のウィルスをパターンマッチするか、より上位レイヤでフック仕掛けてランタイムで監査するかしかないでしょう?全く未知の脅威を静的解析で検出出来たらそれはもう万能デバッグ装置でありソフトウェア界の賢者の石です。
              逆コンパイルして人力で上から下まで全部読んで検査することは理論上可能ですが、もちろんそんなのは現実的ではありません。Apple様なら逆汗してコード見て万全のチェックをしている!!とかビリーバー気取るのは勝手ですが、客観的には馬鹿ですかとしか言いようがないでしょう。

              まあ要するに、既知の技術では現行のiOSの構造では現実的なコストでチェック不可能なんですよ。
              だから現にみんな素通しになってるわけです。

              親コメント
    • by d16 (42817) on 2011年08月23日 0時39分 (#2007531) 日記

      >それとも、政府がやるのには賛成だけど、民間企業には反対?

      政府がやるにしても民間企業がやるにしても、それに歯止めが
      ない濫用は反対、リーズナブルに了解の上行うのは問題なしと
      いうのが多数意見だと思うけどね。

      誰がやるか?じゃなくてどうやるか?なんだよね。

      親コメント
    • by Anonymous Coward

      脱税を減らせる国民総背番号制は俺にメリットがあるから賛成。
      UDIDは俺にメリットがないから反対。

      • by Anonymous Coward

        >脱税を減らせる国民総背番号制は俺にメリットがあるから賛成。

        ん?もしかして税務署の人?

        国民総背番号制でなんで、脱税を減らせるのかわからない。
        だいたい、脱税している人は、会社作っているから、会社のほうの金を使うはず。
        それとも、国民総背番号の制度では、「お財布」ごとに全部固有IDでも振るつもり?

        • by Anonymous Coward

          > 国民総背番号制でなんで、脱税を減らせるのかわからない。
          わからないんなら黙ってた方が無知がバレないよ。

        • by Anonymous Coward

          それとも、国民総背番号の制度では、「お財布」ごとに全部固有IDでも振るつもり?

          それをしないんなら何のために国民総背番号をやると思ってるの?

          • by Anonymous Coward

            できるの?って聞いてるんだけど。

            (人口1億3千万人)x(お財布(銀行口座、現金の出し入れ可能なもの(FX)とか)で10件/人、勝手な想定)x(一日の使用回数5回/日、勝手な想定)x(365日)x(修正申告可能な期間)

            これだけのトラッキングできるわけないでしょ。
            番号振っても、脱税目的の人は、トラッキングできない工夫を必ずするので意味がないよ。

            それとも税務署は、特定個人のみ調査できればいいと考えているのなら、わざわざ、ゴミデータばかりになるのが確実にわかっている子供とかの分は必要はないよね。
            そこが必ず抜け穴になるし。

            • by Anonymous Coward

              その履歴は既に全部記録されていて、あとは名寄せするだけ。
              もしかして、今の銀行口座がお金の移動を一切記録してないと思ってる人?

              • by Anonymous Coward
                俺のがま口財布の出入りは記録されてないや…
          • by Anonymous Coward

            税の徴収時に、誰から徴収したか・しなかったかを管理するため。
            それ以上のことはできませんよ。

    • by Anonymous Coward

      政府がやるのには賛成だけど、民間企業には反対?

      選挙などで民意を反映する手段が存在し、憲法という国家権力の暴走を止める規定が存在し、民間企業に比べたらだいぶマシな情報公開制度が存在し、曲がりなりににでも三権分立三竦み状態になってる政府・国家と、
      一意に経済活動を行って投資に対して最大の収益を上げる事を目的とする民間企業を比べたら、前者の方がだいぶマシだというのは一般的な感覚だと思いますが。

      陰謀脳の持ち主がどう考えるかはしりませんけど。

私は悩みをリストアップし始めたが、そのあまりの長さにいやけがさし、何も考えないことにした。-- Robert C. Pike

処理中...