GoogleのProject Zeroチームが8月末に公表したiOSの脆弱性を狙う攻撃について、実際よりもはるかに大規模な攻撃が行われているように印象付けているとして、AppleがGoogleを批判している(Appleの声明、 The Vergeの記事[1]、 [2]、 Ars Technicaの記事)。

Project Zeroはブログ記事で、バージョンごとに異なるiOS(10～12)の脆弱性を組み合わせたエクスプロイトチェーンにより、ハックされたWebサイトを訪れただけでユーザーのiPhoneに監視ツールをインストールする攻撃キャンペーンが少なくとも2年間行われていたと主張している。Webサイトの数は少数で、週間ビジター数は数千人程度、特定のグループを対象にした攻撃、などといった記述がみられる一方、すべてのiPhoneが攻撃の対象になっていたような記述もみられる。

Appleは攻撃に使われていたのがウイグル族向けのWebサイトで幅広いiPhoneユーザーがターゲットになっていたわけではないとし、攻撃に使われていたWebサイトは1ダースもなく、攻撃が行われていた期間も2か月程度だったと主張する。また、エクスプロイトで使われていたiOS 12のゼロデイ脆弱性はGoogleから通知を受けた時点で既に修正作業が進んでいたとも述べ、脆弱性の影響が小さいと印象付けつつiOSの安全性を強調している。

一方、GoogleはProject Zeroの投稿がセキュリティ脆弱性に関する理解を深めるためのものであり、防御戦略を向上させるなどとして、Project Zeroを支持する声明を出したとのことだ。なお、攻撃はWindowsユーザーやAndroidユーザーもターゲットにしていたとForbesが報じていたが、これに関する言及はない。

Anonymous Coward曰く、

macOS版Firefoxで、Core Animationを使用することで消費電力を約3分の1に抑える機能が現在テストされているという（iPhone Mania、ZDNet、Slashdot）。

Core AnimationはmacOSが提供するアニメーション処理を行うためのフレームワーク。開発者向けのテスト版であるNightlyビルドでこの機能が投入されるようだ。

Anonymous Coward曰く、

ニューヨーク市地下鉄で、Appleのワイヤレスイヤフォン「AirPods」が線路に落下するトラブルが急増しているそうだ。そのため、乗降中の操作禁止も検討しているという（ Engadget日本版、ギズモード・ジャパン、CNBC）。

AirPodsに限らずいわゆる完全ワイヤレスイヤフォンは落としやすそうだが、使用している人で落下・紛失した経験や落とさないための工夫などはあるだろうか。

Anonymous Coward曰く、

Appleの共同創業者の1人であるスティーブ・ウォズニアック氏曰く、Apple Watch現在はお気に入りの製品の1つだそうだ（Bloomberg、Business Insider、iPhone Mania）。理由は、スマートフォン中毒にはなりたくないからだそうだ。

ウォズニアック氏は、メールやニュースのチェックにPCを使い、外出時は携帯電話ではなくApple Watchを主に利用しているという。

Appleは8月29日、Apple正規サービスプロバイダー(AASP)以外のiPhone修理業者も純正部品などを入手可能にする、新修理プログラム「Independent Repair Provider Program」を発表した(ニュースリリース、 9to5Macの記事、 Mac Rumorsの記事、 iFixitの記事)。

新修理プログラムは保証外の修理を対象としたもので、サードパーティー修理業者は規模の大小にかかわらずAASPに提供されるのと同じApple純正部品やツール、トレーニング、修理マニュアル、診断機能などを同価格で利用できるようになる。プログラムにはiPhoneの保証外修理を行う業者が参加可能で、参加のために費用はかからない。ただし、部品の再販業者や卸売業者は対象外となる。修理担当者がAppleCareサービス認定資格を受ける必要はあるが、プログラム参加が認められた業者は認定費用が免除される。プログラムは当初米国で開始され、他国にも拡大していく計画だ。既にAppleはサードパーティー修理業者に純正部品を提供するパイロットプログラム20件を成功させているという。プログラムを本格展開することで、ユーザーが安心してサードパーティー業者の修理サービスを利用可能になるとのことだ。

iFixitはAppleの発表を歓迎しつつ、3月に入手したパイロットプログラムに関連するとみられる部品価格表で一部の部品が正規の保証外修理を利用するよりも高額だったことや、認定が公平に行われるのかどうかについてなど、注意深く見守る必要があると述べている。

headless曰く、

ヴァージンオーストラリア航空がMacBook全モデルについて、預入手荷物に入れることを禁じ、機内持ち込み手荷物に入れるよう求めている（危険物品に関する情報ページ、9to5Mac）。

Appleは2015年9月～2017年2月に販売された15インチMacBook Pro（Retina、15-inch、Mid2015）の一部でバッテリーが発火する可能性があるとして6月に自主回収プログラムを発表している。

これを受けてEU航空安全機関（EASA）は8月1日、航空機での損傷・不良・回収対象のリチウム電池輸送に関する勧告（SIB 2017-01）の対象になると注意を呼び掛けている。Bloombergは8月13日に米連邦航空局（FAA）が自主回収対象のMacBook Proを機内持ち込み・預入ともに禁じたと報じたが、MacBook Proを特に指定したものではなく、旅客機での輸送は必ずしも禁じていないリコール対象のリチウム電池に関する勧告（SAFO 16011: PDF）の対象になると注意を呼び掛けたものだったことが後に判明した。

EASA・FAAともに勧告は強制力のあるものではないが、実際に禁止するにしてもチェックイン時や搭乗時に自主回収の対象になっているかどうかを判定するのは困難だ。そのため、ヴァージンオーストラリア航空ではMacBook全機種の預入を禁止したようだ。ただし、ノートPCを預入手荷物に入れる乗客は少ないと思われ、影響も小さいとみられる。

一方タイ国際航空では21日、SIB 2017-01に従って旧世代の15インチMacBook Proを預入・機内持ち込みともに認めないと発表。シンガポール航空は25日、バッテリーの安全性が確認されるか、安全なバッテリーに交換されない限り、旧世代の15インチMacBook Proを持って来ないよう乗客に求めている。

headless曰く、

Appleは26日、iOS 12.4.1をリリースした（サポートドキュメントHT210549、Pwn20wnd氏のツイート、Mac Rumors、Softpedia）。

iOS 12.4.1ではiOS 12.3でいったん修正され、iOS 12.4で復活していた脱獄を可能にする脆弱性（CVE-2019-8605）が再度修正されている。このほか、同日リリースされたmacOS Mojave 10.14.6 Supplemental UpdateおよびtvOS 12.4.1でもCVE-2019-8605の再修正が行われた。Appleのサポートドキュメントでは元の脆弱性発見者Ned Williamson氏とともに、脱獄ツール開発者のPwn20wnd氏も修正の協力者に挙げている。なお、watchOS 5.3.1も同日リリースされており、重要なセキュリティ更新が行われたと説明されているが、公表されているCVEエントリはないとのこと。

Anonymous Coward曰く、

オンラインゲーム「ドラゴンクエストX」プレイヤー向けの公式スマートフォンアプリ「冒険者のおでかけ超便利ツール」のiOS版が、「疑似ギャンブル」コンテンツのために「17歳以上向け」に変更されたそうだ（GAME Watch）。

このアプリのコンテンツの1つである、サイコロの出目によってゲーム内で使えるアイテムが入手できるミニゲームがギャンブルだと判断された模様。このミニゲームはゲーム内アイテムの「すごろくチップ」を消費することでプレイできるもの。短時間でアイテムを入手できることからプレイできるのは週3回までという制限があるが、課金アイテムでプレイ回数を増やすことができたという。さらにダイスの出目は等確率ではなく、「実際の宝箱の出現率は1の目が約25％、2の目が約28％、3の目が約11％、4の目が約12％、5の目が約15％、6の目が約7％とばらつきがある」のも問題とされたようだ。

なお、Android版はいまのところ「3歳以上」のレーティングのままとなっている。

Anonymous Coward曰く、

米紙The Chicago Tribuneが人気スマートフォンの発する高周波の電磁波についてについて調査したところ、iPhoneの一部機種において連邦通信委員会（FCC）が規定している安全基準値を超えていたそうだ。同紙によると、このテストは政府認定ラボと契約して行われたという。

試験の結果、iPhone 7が安全基準を大きく超える高周波を出していたことが確認されたそうだ。測定された値は、Appleが連邦規制当局に報告したものの2倍以上だったという。また、iPhone 8やiPhone Xでも一部テストで基準値を若干超えていたという。

さらにAppleからテスト方法の意見を取り入れて2回の追試を行ったところ、iPhone 8では結果が規定範囲におさまったものの、iPhone 7は規定範囲を超えたままだったとしている。これに対し、Appleはテストが適切なものではなく、修正されたテスト内容が間違っていたと主張している。FCCも数か月かけて独自の調査を行うことを発表した（MacRumors、Slashdot）。

Appleは20日、クレジットカード「Apple Card」のお手入れの方法を公開した(Appleサポートの記事、 Mac Rumorsの記事、 Ars Technicaの記事、 Mashableの記事)。

Apple Cardはチタンベースの素材に多層コーティングすることにより白い仕上げを実現しており、硬いものに触れるとコーティングが傷付くおそれがあるとのこと。そのため、柔らかい素材の財布やポケット、バッグなどに収納し、小銭や鍵、他のクレジットカードなどと一緒にしないことが推奨されている。砂埃などにも要注意だ。普通のクレジットカード同様、磁石に近付けないようにとも記載されている。

Apple Cardが汚れた場合、水かイソプロピルアルコールで湿らせた柔らかいマイクロファイバー製の布で優しく拭くことを推奨している。家庭用の洗剤や圧縮空気、エアゾールスプレー、溶剤、アンモニア、研磨剤などを使用してはいけない。

これに続いて皮革やデニムなどの素材は洗い落とせない変色の原因となるとの記述がある。濃色の染料を使用した素材に長時間触れると色移りすることがあるということのようで、実際に2か月間革の財布に入れていたら美しくなくなったとAppleの従業員が報告しているそうだ。

そもそもクレジットカードとして使用すれば摩耗していくものであり、傷つかないようにしたり汚れを落としたりということ自体が常軌を逸した話だが、この記述のため革製の財布やジーンズのポケットに入れられないという話で盛り上がっている。

Appleが5月にiOS 12.3で修正した脆弱性が7月リリースのiOS 12.4で復活していることが判明し、最新版のiOSが脱獄可能な状態となっている(Motherboardの記事、 Mac Rumorsの記事、 SlashGearの記事、 The Next Webの記事)。

問題の脆弱性CVE-2019-8605はカーネルの解放済みメモリ使用脆弱性で、悪意あるアプリケーションがシステム権限で任意のコードを実行できるというものだ。iOS 12.3リリース後に発見者のNed Williamson氏がGoogle Project Zeroのスレッドで「SockPuppet」と呼ばれるエクスプロイトを公開しており、このエクスプロイトを利用した脱獄ツールもGitHubで公開されていた。

ところが、このエクスプロイトがiOS 12.4でも動作することが判明し、脱獄ツールもiOS 12.4対応が進められている。脱獄コードの多くはAppleによるパッチを避けるため非公開となっており、最新版のiOSに対応する脱獄コードが公開されるのは久しぶりとのこと。一方、この脆弱性がスパイウェアインストールなどに悪用される可能性もあり、注意が呼びかけられている。

Anonymous Coward曰く、

一党独裁が続く中央アジアのカザフスタンでは、2016年より国民に政府発行のルート証明書のインストールが義務付けられている。これに対しては政府がHTTPS通信を傍受できるのではないかと危惧されていたが、今年7月に実際にカザフスタン政府による中間者攻撃が報告されたことから、主要ブラウザが一斉にこの証明書をブロックする事態となっている（GIGAZINE、ITmedia、ZDNet Japan）。

ブロックを行ったのはFirefoxおよびGoogle Chrome、Safari。また、Chromiumのソースコード内に含まれているブロックリストにこの証明書が追加されているため、ほかのChromiumベースのWebブラウザでもブロックが行われるとのこと。

iPhoneのファイル送信機能「AirDrop」を使ってわいせつな画像を送りつける手口は「AirDrop痴漢」などと呼ばれており、世界各国でこういった行為が確認されている。日本でも2018年にわいせつ画像を女性に送りつけた男性が逮捕されたが（過去記事）、今度は地下鉄内でほかの男性に裸の女性の画像を送りつけた37歳の男性が福岡県迷惑防止条例違反容疑で逮捕される事件が発生した（毎日新聞）。

送りつけられた男性は受信を拒否したが、繰り返し画像が送られてきたため証拠を残すため受け取り、近くにいた不審な男を尾行しながら通報したという。

headless曰く、

WebKitは14日、ユーザー追跡防止に関する新ポリシー「WebKit Tracking Prevention Policy」を発表した（WebKitのアナウンス、Register、BetaNews）。

新ポリシーはMozillaの「Security/Anti tracking policy」に触発されたもので、サードパーティーWebサイトによるユーザー追跡をすべて禁止する。cookieなどデバイスのストレージを使用するユーザー追跡や、URLパラメーターなどを使用するナビゲーション時のユーザー追跡、フィンガープリンティングなどを防止する技術について、未実装のものは今後実装する計画だという。現在知られていないユーザー追跡技法についても、判明した時点で対象に加えていくとのこと。

WebKitのユーザー追跡防止技術は例外なく適用される。ある技術がユーザー追跡に転用可能な場合、WebKitでは正規の使用かどうか識別できないケースも多いが、その技術の使用禁止がユーザーに悪影響を与える場合は使用制限で対応することもある。使用制限でも悪影響がある場合は追跡の可能性があることをユーザーに告知するという。ユーザー追跡防止技術を迂回する行為は脆弱性を悪用する行為と同様に扱い、迂回しようとする者に対して事前に通知することなくさらなる制限を行なう可能性もあるとのことだ。

サードパーティーの修理業者がバッテリーを交換したiPhoneで正規のバッテリーかどうか確認できないとして健康状態が表示されなくなることについて、AppleがiMoreに声明を提供している(iMoreの記事、 9to5Macの記事、 Mac Rumorsの記事)。

Appleによれば、安全性やパフォーマンスの問題が発生する可能性のある損傷したバッテリーや低品質のバッテリー、中古のバッテリーからユーザーを守るため、Appleが認定したテクニシャンがAppleの修理手順に従って新品の純正バッテリーを取り付けたことが確認できない場合に通知する機能を昨年追加したという。現在は全米で1,800以上の正規サービスプロバイダーがあり、容易に高品質な修理サービスが受けられるようになっているとしつつ、非正規の修理を受けた場合であってもiPhoneの利用には影響ないとも述べている。

iMoreのRene Ritchie氏は当初から、この件に関する「サードパーティーによる修理を妨害」といった報道をセンセーショナリズムだなどと批判していた。ただし、バッテリーの健康状態はサードパーティーの修理を利用した場合にとりわけ重要な情報であり、正確な情報が取得できない場合でもおおよその状態が表示されればより役に立つ可能性を指摘している。