アカウント名:
パスワード:
頑張って考えてみたが、
・外部との通信をしないと約束する代わりに端末の機密情報にアクセスできるアプリA・外部との通信を行うが端末の機密情報にアクセスできないありふれたアプリB
を悪魔合体させて(別個にインストールさせて)情報を抜き取って外部に送信するアプリを作るみたいな方法しか思い付かない。賢い人はもっとやばいことをいくらでも思い付くのだろうが。
それこそがマズいんだと思うけど。
・カメラとマイクへのアクセスだけを求める動画面白加工アプリ・広告を表示するためインターネット接続だけを求めるゲームアプリ
があって、どちらも大した悪さはできなさそうだから、OKかな、とインストールしてしまうと、カメラとマイクとインターネットを同時に使われて、盗撮盗聴やりたい放題されるとか。
まあ、カメラとマイクへのアクセスを求める信用できない制作者のアプリなんか入れるな、って話だけど。面白動画加工アプリなら、結果をストレージに書き込むからその許可も求めるだろうし。そうすると、ストレージ+インターネットアクセスを求めるあらゆるアプリが相方になり得るし。
ついでに、ソースのウェブページを読んでみると、この脆弱性が大した問題にはならないのは、そもそもそういう悪魔合体のさせ方は無数に知られてるので1個増えても大したことは無いからだ、みたいに書いてあるように見える。
とはいえAppStoreの審査段階で検出するのは難しくないんじゃないかmacOSなら元からIPCとか使えるしな
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
私はプログラマです。1040 formに私の職業としてそう書いています -- Ken Thompson
悪用のしどころが分からない (スコア:0)
頑張って考えてみたが、
・外部との通信をしないと約束する代わりに端末の機密情報にアクセスできるアプリA
・外部との通信を行うが端末の機密情報にアクセスできないありふれたアプリB
を悪魔合体させて(別個にインストールさせて)情報を抜き取って外部に送信するアプリを作るみたいな方法しか思い付かない。
賢い人はもっとやばいことをいくらでも思い付くのだろうが。
Re: (スコア:0)
それこそがマズいんだと思うけど。
・カメラとマイクへのアクセスだけを求める動画面白加工アプリ
・広告を表示するためインターネット接続だけを求めるゲームアプリ
があって、どちらも大した悪さはできなさそうだから、OKかな、とインストールしてしまうと、カメラとマイクとインターネットを同時に使われて、盗撮盗聴やりたい放題されるとか。
まあ、カメラとマイクへのアクセスを求める信用できない制作者のアプリなんか入れるな、って話だけど。面白動画加工アプリなら、結果をストレージに書き込むからその許可も求めるだろうし。そうすると、ストレージ+インターネットアクセスを求めるあらゆるアプリが相方になり得るし。
ついでに、ソースのウェブページを読んでみると、この脆弱性が大した問題にはならないのは、そもそもそういう悪魔合体のさせ方は無数に知られてるので1個増えても大したことは無いからだ、みたいに書いてあるように見える。
Re:悪用のしどころが分からない (スコア:0)
とはいえAppStoreの審査段階で検出するのは難しくないんじゃないか
macOSなら元からIPCとか使えるしな