パスワードを忘れた? アカウント作成

スラドのストーリを選ぶための補助をお願いします。

15323681 story
犯罪

ブラジル・サンパウロ、バンキングアプリを狙うスマートフォン窃盗が増加 19

ストーリー by headless
銀行 部門より
ブラジル・サンパウロでは本体の売却益ではなく、インストールされたバンキングアプリによる銀行口座へのアクセスを目的としたスマートフォン窃盗が増加しているそうだ(TecMundo の記事[1][2]9to5Mac の記事Folha de S. Paulo の記事)。

犯行はハッカー集団により組織的に行われており、COVID-19 パンデミックが始まったころから増加している。主なターゲットはロック解除の容易な Android 端末だが、iPhone のロック解除も可能だという。路上などで被害者が使用中のロックされていないスマートフォンをひったくることもあるとのこと。

ある被害者はバンキングアプリを開くのにパスワードを入力し、取引の確認には別のパスワードを入力するので大丈夫だと思っていたが、警察の勧めに従って口座を確認したところ、盗難から30分以内に5,000レアル(約11万円)ほどが送金されていたそうだ。

そのためサンパウロ州の消費者保護当局 Procon-SP では、Apple/Motrola/Samsung の3社や、アプリを提供する銀行などに対し、スマートフォンが盗難被害にあった場合の保護機能について報告を求めている。
15317104 story
海賊行為

数独ゲームに偽装した海賊版動画ストリーミングアプリ、App Storeで高評価を得る 36

ストーリー by nagazou
規制を抜ける技術も発達 部門より
headless 曰く、

数独ゲームに偽装した海賊版映画・TV番組ストリーミングアプリがAppleの厳しい審査をくぐってApp Storeで公開され、高い評価を得ていたようだ(9to5Macの記事)。

このアプリ「Zoshy+」はサーバー側の処理でアプリの内容を切り替えることで審査を通過したとみられ、初回起動時はApp Storeのアプリ情報に掲載されているのと同じ数独の画面が表示されるという。しかし、アプリの画面はその後(9to5Macによれば数秒後)ビデオブラウザーのインターフェイスに置き換えられる。長い広告を見る必要があるものの、本物のコンテンツが再生されるそうだ。ストリーミングアプリとしては驚くほど洗練されており、再生されるのが違法コンテンツであることを除けばNetflixアプリのライバルになるレベルとのこと。

Zoshy+はApp Storeのレビューで海賊版動画ストリーミングアプリであると指摘されながら3週間ほど公開され続け、ユーザーのレーティングは5点満点中4.4点の高評価を獲得。Googleキャッシュに残っているApp Storeのアプリ情報ページ(6月14日保存)ではパズルカテゴリー68位だが、Internet Archiveに残っている6月7日のスナップショットでは3位になっている。

サーバー側の切り替えでAppleが本来許可しないコンテンツを配信する手法は何年も前から問題になっているが、根絶は難しいようだ。最近ではIPアドレスによって別のアプリに変わるアプリが見つかって話題になっている。

15314883 story
iOS

Apple、やっぱりApp Storeの検索結果で自社アプリを優遇か? 31

ストーリー by nagazou
証拠はあるのか→はい 部門より
headless 曰く、

Appleは2019年にApp Storeの検索結果で自社アプリを優先的に表示しているとの疑惑を否定していたが、疑惑を裏付けるような証拠がEpic Games 対 Appleの訴訟で提出されている。この証拠はApp Storeの検索機能がひどいというEpic CEOのTim Sweeney氏からの不満について、2018年にApple社内でやりとりされた電子メールの内容だ(The Vergeの記事)。

Sweeney氏は新しいiPhoneをセットアップしていつも使うアプリ12本をインストールした際、アプリの正確な名前で検索しても目的のアプリが検索結果1位に表示されたことは一度もなかったと述べている。「Dropbox」に至っては最初のページにも表示されず、検索結果1位にはAppleの「Files (ファイル)」が表示されたという。また、「Fortnite」が検索結果1位に表示されないことに対しては特に強く不満の意を示し、日によってMicrosoftや他の会社が検索結果を買っているなどと述べ、ランキング操作をやめるように求めている。

これについてApp Storeの検索を担当する責任者のDebankur Naskar氏は、前回(2017年)のWWDCの間「Dropbox」を検索すると「Files」が1位に表示されるよう手作業で調整していたが、現在は元に戻したと述べている。また、「Fortnite」の検索結果は問題ないようだとしつつ、広告の表示に関してはiAdチームと調査すると述べている。一方、App Store担当VPのMatt Fischer氏はFilesアプリを上位に持ち上げていたことを知らなかったと述べ、誰から頼まれてどのように対応したのか知りたいと述べている。ただし、今後は自分を通して処理するようにと述べており、検索結果の順位調整には反対していないように見える。

しかし、AppleはThe Vergeに対し、「Dropbox」を検索するとFilesが1位に表示されていたのは手違いだと述べている。FilesアプリはDropboxのサービスに対応しており、Appleがメタデータに「Dropbox」と入れたため、「Dropbox」を検索すると自動的にFilesが1位になったのであり、手動で順位を調整していないことを強調したとのことだ。

15307078 story
お金

アップルにiPhoneを修理に出した女性、裸の写真とセックス動画を自分のSNSに投稿される 97

ストーリー by nagazou
とんでもないことが起きてた 部門より
The Telegraphの報道によると、米国オレゴン州に住む当時10代の女子大生が2016年に、Appleに自分のiPhoneの修理を依頼したところ、修理業者の手によって中にあった写真と動画が勝手に取り出され、しかも彼女本人が投稿したかのようにFacebookアカウントに投稿されたという事件が起きていたという(The Telegraphクーリエ・ジャポンАфиша Dailydetikcom)。

その後の経緯はタレコミにあるとおりで、最終的にAppleが数百万ドルの補償金を支払ったとしている。Appleが彼女に最終的に支払った金額自体は不明だが、報道によれば彼女の弁護士は500万米ドルを要求していたとのこと。Appleはこの事件のあと、セキュリティシステムを強化し、同様のリーク事件が再発しないよう対策を取ったとしている。

tamaco 曰く、

2016年アップルにiPhoneの修理に出した女子大学生、アップル公認の修理業者により、彼女のフェイスブックアカウントから、まるで彼女自身がアップしたと思われるような形で勝手に「さまざまな段階の脱衣姿の写真10枚とセックスビデオ」を投稿した。

友人から彼女に連絡が入り、これらの画像はすぐに削除された。
事件をおこした修理業者の技術者2人はすぐに解雇され、より監視体制を厳格にした

この事件による「深刻な精神的苦痛」の慰謝料として、アップルが女子学生に数百万ドルを支払ったと英紙「デイリー・テレグラフ」が報じている。

iPhoneのロックはFBIでも解除困難と聞いていたので、修理に出す前にはロックするようにしている。しかしまさか修理業者が端末のデータに簡単にアクセスできるなんて想定外だし怖い話ではある。

情報元へのリンク

15306124 story
お金

App Storeの高収益アプリトップ1000、2%近くが詐欺アプリ 31

ストーリー by nagazou
チェック機能があったはずでは 部門より
headless 曰く、

The Washington Postの調べによると、AppleのApp Storeで高収益アプリ上位1,000本のうち2%近くが「フリースウェア」とも呼ばれる詐欺アプリだったそうだ(The Washington Postの記事Mac Rumorsの記事9to5Macの記事)。

フリースウェアとは定期課金により機能に見合わない高額な利用料を請求する詐欺アプリを指し、試用期間に課金情報の登録を求めてキャンセルを忘れたユーザーに課金し続けたり、メジャーブランドを騙ったりするものもあるという。こういったアプリはマルウェアとはいえないため、金品を巻き上げるという意味の「fleece」を使った「フリースウェア」という用語が考案されたとのこと。

App Store Reviewガイドラインでは不当に高い金額を請求するアプリが禁じられており、2月には高額課金アプリへの対策を開始したとも報じられているが、フリースウェアは少額な課金を繰り返すことで規制を迂回しているようだ。The Washington Postの分析により発見されたフリースウェアは18本。Appfiguresによれば、これらのアプリは公開以降の合計で4,800万ドルをユーザーから騙し取ったと推定されるという。そのうち30%は手数料としてAppleに入ることになる。Appleは通報を受けて18本のうち3分の2をApp Storeから削除したそうだ。

15302621 story
スラッシュバック

米カリフォルニア州上級裁判所、Appleの最高セキュリティ責任者に対する贈賄罪での訴追を棄却 2

ストーリー by nagazou
山吹色のアップルパイ認可 部門より
headless 曰く、

米カリフォルニア州サンタクララ郡の州上級裁判所が1日、Appleの最高セキュリティ責任者 Thomas Moyer氏に対する贈賄罪での訴追を棄却したそうだ(Reutersの記事The Vergeの記事Mac Rumorsの記事The Registerの記事)。

カリフォルニア州サンタクララ郡の検事局はMoyer氏が保留になっていたApple従業員の銃器携帯申請4件の許可を条件に、200台のiPadを郡保安官事務所に寄付すると郡保安官事務所職員2名に約束したと主張。カリフォルニア州では銃器を外から見えない状態(CCW)で携帯する場合、ライセンスが必要になる。これを受けて昨年11月、大陪審がMoyer氏を起訴していた。

しかし州上級裁判所のEric S. Geffon判事は、Moyer氏は寄付を約束したとされる2019年の会談より1年以上前から保安官事務所とCCW許可について話し合っており、会談の時点では既に申請が認められて間もなく許可証が発行されると考えていたことを証拠が示していると指摘する。

判事は検事局の主張が完全な推測であり、大陪審に提示された証拠はそれを裏付けていないこと、寄付は特定の職員ではなく保安官事務所に贈るものであり、Apple内部の規定に従って寄付を申請していたことなどを挙げ、検事局の主張が誤りだと結論付けたとのことだ。

15299717 story
iPhone

iPhoneで電話番号履歴の地名表示にバグ。埼玉県本庄市と秋田県由利本荘市で 110

ストーリー by nagazou
機種ごとの設定要件ってなんだ 部門より

東京新聞によるとiPhoneから、埼玉県本庄市などの市外局番「0495」にかけたり、その番号で受けたりすると履歴に「秋田県由利本荘市」と表示される問題が起きているそうだ(東京新聞)。

このバグのせいで、本庄市は市役所から市民に電話した場合、出てもらえない場合があるとして困っているとのこと。由利本荘市の市外局番「0184」から電話した場合は正しく表示されるそうだ。本庄市では2019年の秋頃からApple側に対処を求めているそうだが、対応してもらえていないそう。東京新聞ではAppleにも問い合わせているが、

アップル社は「問題は把握している」としながら「機種ごとに設定要件が変わるので、対応が難しい」と回答。

とのこと。

15298762 story
アップル

Apple M1プロセッサに設計上の脆弱性が見つかる 39

ストーリー by nagazou
今のところは問題ないようです 部門より
「Apple M1」プロセッサ上にLinuxを移植する過程で、M1プロセッサに設計上の脆弱性があることが判明したそうだ。この脆弱性を発見したHector Martin氏は「M1RACLES」と名付けている。M1RACLESはすでにCVE-2021-30747識別子として割り当てられているという(CVE-2021-30747PhoronixTECH+Ubergizmo JAPAN)。

この脆弱性では、OS上で実行されている2つのプロセス間で、OS側の機能を必要とせずにデータ交換できるというもの。これは異なる権限レベルで動作するプロセス間でも動くとされている。ただ、この脆弱性を悪用するためには、システムが侵害されている状態でなければならず、そうでない状況では悪用は難しいとされている。この脆弱性がM1プロセッサの後継モデルで修正されるかは不明。
15288349 story
プライバシ

カスタムURIスキームを利用して異なるWebブラウザーにわたりユーザー追跡を可能にする手法 2

ストーリー by nagazou
あの手この手 部門より
headless 曰く、

カスタムURIスキームを利用することで、異なるWebブラウザーにわたるユーザーの追跡が可能になるという「scheme flooding」脆弱性をFingerprintJSが公開している(FingerprintJSのブログ記事Ghacksの記事HackReadの記事デモページ)。

この脆弱性はカスタムURIスキームを使用して外部プロトコルのハンドラー呼び出しを試みることで、Webサイトがユーザーのシステムに対応アプリがインストールされているかどうかを知ることが可能というものだ。カスタムURIスキームを利用するアプリのリストを生成することで、システムにインストールされた複数の異なるWebブラウザーで共通の識別子を生成できる。FingerprintJSでは影響を受けるブラウザーとしてデスクトップ版のTor Browser/Safari/Chrome/Firefoxを挙げているが、Chrome以外のChromiumベースブラウザーも影響を受けるとみられる。

ChromiumベースのブラウザーではカスタムURIスキーム実行時にダイアログボックスが表示され、ユーザーの意志に反したアプリケーションの起動を防ぐ仕組みが備わっているが、いったん内蔵PDFビューアーを起動するとこの仕組みがバイパスされる問題があるという。これについてはFingerprintJSがバグとして報告している。

FingerprintJSが公開しているデモでは24のアプリケーションに対応するカスタムURIスキームをチェックして24ビットの識別子を生成する。現在のところmacOSとWindowsにのみ対応しており、Linux上では正しく動作しない。

15288550 story
iPhone

アップル日本法人、5G対応スマホを電気通信事業法の割引制限対象から除外するよう要望 45

ストーリー by nagazou
Appleが言ったら余計に反発しそう 部門より
共同通信社によれば、Appleの日本法人が17日に務省の有識者会議に参加し、総務省の定めた「携帯電話端末の割引の上限は2万円程度」とする電気通信事業法の割引制限方針を5Gスマートフォンに関しては解除することを求める要望を出したという。同社の主張では、日本国内の5G利用率が低いことから、5Gの普及のためにも値引き幅の拡大が必要であるとしている(共同通信)。なお総務省に提出されたと見られるAppleの資料は競争ルールの検証に関するWGの構成員のみ閲覧できる非公開扱いとなっている(競争ルールの検証に関するWG(第18回))。
15287269 story
テクノロジー

AirTagのネットワークをハックしてデータを送受信する 16

ストーリー by nagazou
スパイの皆さんにはよさげ 部門より
Appleが4月に発表した紛失防止タグ「AirTag」では、Apple製品のネットワークを活用することにより、iPhoneの「探す」アプリから忘れ物や紛失物を見つけ出せる。このときに利用されるFindMyネットワークを利用して、近くのAppleデバイスに任意のデータをアップロード手法がセキュリティ企業のPositive Securityによって開発されたという。この手法を試すためのツールに関してもGitHub上で公開されている(Positive SecurityGitHubINTERNET WatchGIGAZINE)。

AirTagが隣接した位置にあるiPhoneを経由して位置情報を送信する仕組みを利用し、任意のデータを送受信するというものだそう。INTERNET Watchの記事によれば、AirTagはセキュリティのため位置情報を暗号化して送信する仕組みを採用しており、AirTagに偽装したツールを使って位置情報代わりにメッセージを送信することで、Appleに把握させることなくメッセージの送受信が行える模様。
15286002 story
iOS

楽天モバイル、Rakuten LinkのiOS版仕様を変更へ。海外通話料金等に影響 30

ストーリー by nagazou
利便性は悪化したような 部門より
あるAnonymous Coward 曰く、

2021年6月15日(火)以降、Rakuten LinkアプリiOS版における「音声通話の着信」と「SMS送受信」について仕様変更が行われる(楽天モバイルリリースEngadget)。Android版Rakuten Linkアプリには変更がなく、iOS版のみ変更なので、Apple社やiOS等による制限、規定等に従った結果と思われる。

まとめると架電(発信)にはRakuten Linkを使えるが、受話(受信)にはiOS標準アプリを使うようになる。架電と受話でアプリを使い分けるのは面倒。また、SMS送信・受信にはiOS標準アプリを使うようになる。結果的にSMS送信が有料となる。海外での使用にも影響があるようだ。

ネット上には、これらを改悪とする意見もあるが、受話時の音質が良くなるとか、Apple Watchに通知が来るようになると歓迎する意見もある。

ITmediaの記事によれば、今回の仕様変更は「技術的な都合」によるものであるという。具体的な変更点としては、変更前はすべての通話がRakuten Linkアプリで着信可能であったのに対して、変更後は相手がRakuten Linkからの発信の場合のみ、Rakuten Linkで着信可能となる(ITmediaケータイ Watch )。これに伴い、iOS標準の電話アプリで折り返し電話をかける場合の扱いなどに注意が必要だ。詳細に関しては公式のリリースを見ていただきたいが、通話やSMSを送信時の料金にも影響が及ぶことになる。

15281982 story
英国

英金融オンブズマン、AppleがiPhoneアップグレードプログラムで障害者に不利な扱いをしている可能性を調査 40

ストーリー by nagazou
調査 部門より
headless 曰く、

Appleが英国で提供するiPhone Upgrade Programmeで重度の障害を持つ顧客に不利な扱いをしている可能性について、英金融オンブズマンサービスが調査を開始したそうだ(9to5Macの記事)。

iPhone Upgrade Programmeは月額料金を支払うことで、毎年最新のiPhoneが入手可能になるというものだ。米国のiPhone Upgrade ProgramではApple Store実店舗のほかアプリでも申し込み・更新手続きが可能だが、英国版プログラムでは手続きが実店舗に限定されている。

金融オンブズマンに問題を訴えた男性は四肢障害を持ち、自動車や公共交通機関を利用して最も近いApple Storeまで行くことが困難だという。しかし、Appleはプログラムで提携するBarclaysの要件により、手続きには来店が必要だと説明したそうだ。

英国の法律では障害を持つ人々に対する不利な扱いを避けるため、企業に対して合理的な調整を行うよう義務付けている。男性は2019年、書類の郵送や介護者による店舗への持ち込み、自宅から非常に近く、車いすで行くことのできるBarclays Bankの支店での手続きなどを提案したが、Appleはすべて却下したとのこと。

メディアで注目を集めたのちにAppleは代替の手配を行ったが、男性は昨年も再び同じ問題に直面することになる。Appleは男性が更新手続きをできるようにしたものの、9to5Macが閲覧した電子メールでは一度限りの手配で2021年には提供しないという合意書に男性が署名したと主張しているという。

金融オンブズマンは9to5Macに対し、男性の苦情が調査員の割り当て条件を満たしており、AppleとBarclaysに対する正式な調査を開始したと述べたとのことだ。

15281008 story
ビジネス

楽天モバイル、販売開始したばかりのiPhoneを不正購入する事例が発生 16

ストーリー by nagazou
配送先で足がつきそうだけれども 部門より
楽天モバイルは4月30日からiPhoneの取り扱いを開始したばかりだが、そのiPhoneを不正に購入されてしまうという事例が起きているようだ。同社は5月10日「不正な製品購入の対策強化について」とするリリースを出した。第三者が不正に入手した楽天IDとパスワード、もしくはクレジットカードの情報を利用することで、iPhoneを購入したケースが出ているという。被害件数や被害額などは現在確認しているとのこと。同社から個人情報漏洩等が発生していることはないとしている(楽天モバイルリリース日テレNEWS24ITmedia)。

オンラインストアでiPhoneを購入する場合は、回線とセットであれば本人確認書類の提示を求めているが、端末単体で購入する場合は本人確認は必要ない。同社は現在、複数台購入した場合、一部を出荷停止するなどの措置を取っているという。
15280090 story
ソフトウェア

Apple、Zoomに特別なAPIの使用を許可。アプリ開発者の平等な扱いに疑問との指摘 45

ストーリー by nagazou
平等の定義から議論 部門より
Engadgetの記事によれば、AppleがWeb会議サービスZoomのアプリ開発に際して、特別なiPadOS APIへのアクセスを許可していたそうだ。ZoomのiPad用アプリでは、画面分割のSplit Viewモード中であってもカメラを使用できるが、一般的なサードパーティ製アプリケーションではこうした機能は使用できないという。アプリ開発者のJeremy Provos氏によれば、この機能を実現するための方法はネット上でも見つからなかったとしている(Jeremy Provos(Blog)MacRumorsEngadget)。

Zoomに確認したところ、画面分割中もiPad内蔵カメラに使い続けられる特別なAPIを使用していることが判明したそうだ。CarPlayへのアクセスのように、一部開発者だけに許可される機能もあるが、そうしたものの場合、申請するための文書や手続きは公開されいるという。しかし、今回Zoomが利用した機能に関しては、公式な手続きは用意されておらず、Appleは存在さえも公開しておらず、記事では「すべての開発者を平等に扱う」という方針に反するものではないかと指摘している。
typodupeerror

私はプログラマです。1040 formに私の職業としてそう書いています -- Ken Thompson

読み込み中...