アカウント名:
パスワード:
リンク先のスクリーンショットみたら、もろにAndroidなんだけど。しかも、これiOS側でひっかかるのは「デベロッパプログラムに入ってるユーザのみ」でしょ?脱獄もせずに、サードパーティのアプリをダウンロード出来るのは、セキュリティホールがある場合以外で聞いたことがない。
>しかも、これiOS側でひっかかるのは「デベロッパプログラムに入ってるユーザのみ」でしょ?
違います。「配布元が」Enterprise Programに入っていれば、iOSに対してプログラムを配布できます。タレコミのリンク先参照。
App store以外の経路から自分でアプリを探して入手し、パスワードを入力しまくってアプリをインストールし、自分で起動して警告も無視して実行し、9万9千円とか表示されている画面を確認の上、クレジットカード番号を入力したら詐欺成立ですか...で、個人情報の収集も感染動作も無し、と。って言うか何でこれが「iOSも危険」って文脈で語られるのか。普通にWebでオンライン買い物するよりずっと敷居が高いんだけどなあ...
あえて記事にするなら、iOSで悪意のあるプログラムを作ろうとしてもこう言うものしか出来ません、と安全性をアピールするネタとしてしか使い様が無い気がするけど。PC起動してしばらく放置していれば、いつの間にかウィルス感染している某OSみたいなのとの比較記事とかにしてさ。
「iOSも危険」というほどの文脈はないように思います今まで悪用されてなかったDeveloper Enterprise Programの悪用が確認された、けどそれは任意の個人や団体が継続的にやるには申請に絡んだコストがかかって難しいアプリのインストール先を絞ってるからこそ問題視されるケースでどこからでも持ってこれる某OSとは問題点がちょっとずれてるように思います
「アプリのインストール先」ではなくて「アプリのインストール元」か
これは本来は企業内で社員にアプリを配布するためのエンタープライズ•プログラムによるOTA配布システム。年会費は通常の3倍、入会にあたってはD-U-N-S番号の取得が必要。なので配布している会社の身元ははっきりしている。社外にアプリを配布するのは規約違反。
すいません、デベロッパプログラムに入った事が無いのでその配布システムがわからないのですが。それは、システム的に社外への配布が可能なんですか?だとしたら、もの知らずですいません。配布先についてもIMEI等の固有番号の設定等が必要なのかと思ってました。
普通のアプリ開発時の、実機テストの時には「実機のUDID埋め込んだプロファイル(1年に申請できるUDID件数に制限あり)」でないとインストール・デバッグ出来ない。
Enterprise契約したときに作れるプロファイルだと、プロファイルにUDID埋め込まなくてもインストールできる仕組み。(普通は、UDID埋め込んでないプロファイルは、AppleのAppStore経由でないと入れれない)
そのために、#2827592でも書かれていますが、Enterprise契約時には「社内・関係者以外に配布されないようにしなさい(WEBにあげたときにはアクセス制限など)」というしばりがあります。Appleにバレると契約解除されます。(今回のように、ユーザーが許可さえすればインストールできてしまう仕組みのため)
絶対安全はずの林檎社のセキュリティは実際は他社以下の穴だらけだったってことですよね
それだけ詳しい解説を読んでおいて、どうやってそういう結論を出せるか是非教えてほしいところですね。
> リンク先のスクリーンショットみたら、もろにAndroidなんだけど。マイナビのはAndroidだけど、スラドのストーリーにリンクされているシマンテックの記事はiOSの記事。Androidで一度報告された(のをネタにマイナビの記事がかかれた?)後に、同様のマルウェアがiOS上でしかも一般ユーザにiTS以外のサイトからダウンロードされる形で配布されたのが、ある意味ニュースな訳ですね。
> 脱獄もせずに、サードパーティのアプリをダウンロード出来るのは、セキュリティホールがある場合以外で聞いたことがない。
まあ、上記のシマンテックの記事に事件の詳細と考察が日本語で丁寧に記載してあるので、そちらをご参照ください。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
犯人はmoriwaka -- Anonymous Coward
なんでiOSのみのニュースに? (スコア:0)
リンク先のスクリーンショットみたら、もろにAndroidなんだけど。
しかも、これiOS側でひっかかるのは「デベロッパプログラムに入ってるユーザのみ」でしょ?
脱獄もせずに、サードパーティのアプリをダウンロード出来るのは、セキュリティホールがある場合以外で聞いたことがない。
Re:なんでiOSのみのニュースに? (スコア:1)
>しかも、これiOS側でひっかかるのは「デベロッパプログラムに入ってるユーザのみ」でしょ?
違います。「配布元が」Enterprise Programに入っていれば、iOSに対してプログラムを配布できます。
タレコミのリンク先参照。
Re: (スコア:0)
App store以外の経路から自分でアプリを探して入手し、パスワードを入力しまくってアプリをインストールし、
自分で起動して警告も無視して実行し、9万9千円とか表示されている画面を確認の上、クレジットカード番号
を入力したら詐欺成立ですか...
で、個人情報の収集も感染動作も無し、と。
って言うか何でこれが「iOSも危険」って文脈で語られるのか。
普通にWebでオンライン買い物するよりずっと敷居が高いんだけどなあ...
あえて記事にするなら、iOSで悪意のあるプログラムを作ろうとしてもこう言うものしか出来ません、と安全性
をアピールするネタとしてしか使い様が無い気がするけど。
PC起動してしばらく放置していれば、いつの間にかウィルス感染している某OSみたいなのとの比較記事とかに
してさ。
Re: (スコア:0)
「iOSも危険」というほどの文脈はないように思います
今まで悪用されてなかったDeveloper Enterprise Programの悪用が確認された、
けどそれは任意の個人や団体が継続的にやるには申請に絡んだコストがかかって難しい
アプリのインストール先を絞ってるからこそ問題視されるケースで
どこからでも持ってこれる某OSとは問題点がちょっとずれてるように思います
Re: (スコア:0)
「アプリのインストール先」ではなくて「アプリのインストール元」か
Re: (スコア:0)
これは本来は企業内で社員にアプリを配布するためのエンタープライズ•プログラムによるOTA配布システム。年会費は通常の3倍、入会にあたってはD-U-N-S番号の取得が必要。なので配布している会社の身元ははっきりしている。
社外にアプリを配布するのは規約違反。
Re: (スコア:0)
すいません、デベロッパプログラムに入った事が無いのでその配布システムがわからないのですが。
それは、システム的に社外への配布が可能なんですか?
だとしたら、もの知らずですいません。
配布先についてもIMEI等の固有番号の設定等が必要なのかと思ってました。
Re:なんでiOSのみのニュースに? (スコア:1)
普通のアプリ開発時の、実機テストの時には「実機のUDID埋め込んだプロファイル(1年に申請できるUDID件数に制限あり)」でないと
インストール・デバッグ出来ない。
Enterprise契約したときに作れるプロファイルだと、プロファイルにUDID埋め込まなくてもインストールできる仕組み。
(普通は、UDID埋め込んでないプロファイルは、AppleのAppStore経由でないと入れれない)
そのために、#2827592でも書かれていますが、Enterprise契約時には
「社内・関係者以外に配布されないようにしなさい(WEBにあげたときにはアクセス制限など)」
というしばりがあります。
Appleにバレると契約解除されます。(今回のように、ユーザーが許可さえすればインストールできてしまう仕組みのため)
Re: (スコア:0)
絶対安全はずの林檎社のセキュリティは実際は他社以下の穴だらけだったってことですよね
Re: (スコア:0)
それだけ詳しい解説を読んでおいて、どうやってそういう結論を出せるか是非教えてほしいところですね。
Re: (スコア:0)
> リンク先のスクリーンショットみたら、もろにAndroidなんだけど。
マイナビのはAndroidだけど、スラドのストーリーにリンクされているシマンテックの記事はiOSの記事。
Androidで一度報告された(のをネタにマイナビの記事がかかれた?)後に、同様のマルウェアが
iOS上でしかも一般ユーザにiTS以外のサイトからダウンロードされる形で配布されたのが、
ある意味ニュースな訳ですね。
> 脱獄もせずに、サードパーティのアプリをダウンロード出来るのは、セキュリティホールがある場合以外で聞いたことがない。
まあ、上記のシマンテックの記事に事件の詳細と考察が日本語で丁寧に記載してあるので、
そちらをご参照ください。