パスワードを忘れた? アカウント作成
15334192 story
ソフトウェア

Apple の M1 チップを初期サポートする Linux 5.13 リリース 10

ストーリー by nagazou
本家 部門より
headless 曰く、

Linus Torvalds 氏が6月27日、Linux 5.13 (コードネーム: Opossums on Parade) のリリースをアナウンスした(メーリングリストでのアナウンスPhoronix の記事9to5Mac の記事The Register の記事)。

5.13 で特筆すべき点としては、Apple M1 チップの初期サポートが挙げられる。ただし、サポートはごく初期の段階であり、M1 GPU などのサポートは含まれない。このほか、セキュリティモジュール Landlock のマージや、Intel Alder Lake S のグラフィック初期サポートAMD の FreeSync HDMI や Aldebaran GPU の初期サポートなどが追加されている。

15334218 story
変なモノ

宅配業者を装ったSMS詐欺が増加。Apple IDとパスワードを取られると対処が困難 30

ストーリー by nagazou
Appleとしては厳密に運用するしかないからなあ 部門より
宅配業者を装ったSMS詐欺が増加している。不在通知などを偽装したSMSを送りつけ、偽サイトに誘導するという手法。FNNプライムオンラインの記事によると、詐欺の手法はスマートフォンのOSによって分かれるという。Androidの場合は、不審なアプリケーションをインストールさせようとするという。iOS端末の場合は、フィッシングサイトに誘導、電話番号や、Apple ID・パスワードを入手しようとする手法がとられるようだ(FNNプライムオンライン佐賀新聞)。

こうした詐欺の被害に遭った場合、その後の対策に苦労することになるようだ。Apple IDが奪われてしまった場合、手持ちのApple製品がすべて自分のものではなくなってしまう上、元のApple IDがないことから初期化も不可能であるとしている(Togetter)。

nemui4 曰く、

宅配業者の不在連絡を偽装したSMSから個人情報やAppleIDを入力させて搾取する手口だそうな。Apple側従来のマニュアルでしか対応できなくて、やられたほうはめんどくさい地獄に落とされる様子。

15333272 story
医療

Apple、iPad や Mac を含む医療機器への磁気干渉リスクがある製品のリストを公開 20

ストーリー by nagazou
巨大エレキバン効果 部門より
headless 曰く、

Appleが iPhone 12 の内蔵磁石に関するサポートページを6月25日に更新し、Apple 製品全般における医療機器への磁気干渉の可能性を解説する内容に変更した(HT211900Mac Rumors の記事BetaNews の記事SlashGear の記事)。

このサポート記事は元々、MagSafe 対応により磁石の搭載量が増えた iPhone 12 および MagSafe アクセサリと、植込み型除細動器 (ICD) やペースメーカーなど医療機器への干渉リスクに関する内容で、公開当初は従来の iPhone と比べて磁気干渉リスクが高まることは予測されていないと説明されていた。

しかし、iPhone 12 をICD に近付けると療法が停止するという米ヘンリーフォード病院の研究グループによる調査結果が発表されたのち、iPhone 12 および MagSafe アクセサリを医療機器から15 cm 以内 (充電中は 30 cm 以内)に近付けないよう追記されていた。

今回の更新では Apple 製品に限らず消費者向けの電気製品の多くが磁石や電磁場を生じる部品、無線送信機を内蔵しているとしたうえで、磁気干渉のリスクがある Apple 製品を列挙している。iPhone はこれまで通り iPhone 12 のみだが、その他の製品は Apple Watch や HomePod、iPad、Mac など幅広い。これらの製品は医療機器に近付けず、安全な距離を保つ必要があるとのことだ。

15326334 story
iOS

iPhoneで接続するとWi-Fi機能が無効になってしまうSSID名のバグ 61

ストーリー by nagazou
面倒なバグだ 部門より
minet 曰く、

iPhoneで特定文字列のSSIDのWifiアクセスポイントに接続すると、Wifi機能が無効になってしまう不具合が発見された。(CNET JapanBleepingComputer発見者によるツイート

報告によると、iPhoneで「%p%s%s%s%s%n」というSSIDのアクセスポイントに接続したところ、Wifi機能が無効になり、さらにWifi機能を有効化できなくなってしまったそうだ。
この状態になってしまった場合、修正するにはネットワーク設定をリセットする必要がある。端末再起動では改善しない。
複数のiOSバージョン・端末で再現する模様。

過去の関連記事
auのW42CAとW42Hが%nと%Sの文字列で強制再起動
(他にも類似事例はありそうだがタレコミ人はこれをまず思い出した)

情報元へのリンク

iPhoneから「%p%s%s%s%s%n」という特定名称のSSIDを使用しているWi-Fiに接続した場合、iPhoneのWiFi機能が完全に無効化され、WiFi接続を確立できなくなることが判明した。セキュリティ研究者のCarl Schou氏が発見したもので、この問題が発生するとiPhoneを再起動してもSSIDを変更しても回復しないという。同氏のツイートでは再現時の状況が動画で公開されている。同氏のテスト環境ではiOS 14.4.2やiOS 14.6でも同様の症状が再現された模様。人気WiFiホットスポットの近くで先のSSID名を用いた不正なWiFiホットスポットを設置されるといったリスクが指摘されている(Carl Schou氏TwitterBleepingComputerAppleInsiderEngadget)。

15323681 story
犯罪

ブラジル・サンパウロ、バンキングアプリを狙うスマートフォン窃盗が増加 22

ストーリー by headless
銀行 部門より
ブラジル・サンパウロでは本体の売却益ではなく、インストールされたバンキングアプリによる銀行口座へのアクセスを目的としたスマートフォン窃盗が増加しているそうだ(TecMundo の記事[1][2]9to5Mac の記事Folha de S. Paulo の記事)。

犯行はハッカー集団により組織的に行われており、COVID-19 パンデミックが始まったころから増加している。主なターゲットはロック解除の容易な Android 端末だが、iPhone のロック解除も可能だという。路上などで被害者が使用中のロックされていないスマートフォンをひったくることもあるとのこと。

ある被害者はバンキングアプリを開くのにパスワードを入力し、取引の確認には別のパスワードを入力するので大丈夫だと思っていたが、警察の勧めに従って口座を確認したところ、盗難から30分以内に5,000レアル(約11万円)ほどが送金されていたそうだ。

そのためサンパウロ州の消費者保護当局 Procon-SP では、Apple/Motrola/Samsung の3社や、アプリを提供する銀行などに対し、スマートフォンが盗難被害にあった場合の保護機能について報告を求めている。
15317104 story
海賊行為

数独ゲームに偽装した海賊版動画ストリーミングアプリ、App Storeで高評価を得る 36

ストーリー by nagazou
規制を抜ける技術も発達 部門より
headless 曰く、

数独ゲームに偽装した海賊版映画・TV番組ストリーミングアプリがAppleの厳しい審査をくぐってApp Storeで公開され、高い評価を得ていたようだ(9to5Macの記事)。

このアプリ「Zoshy+」はサーバー側の処理でアプリの内容を切り替えることで審査を通過したとみられ、初回起動時はApp Storeのアプリ情報に掲載されているのと同じ数独の画面が表示されるという。しかし、アプリの画面はその後(9to5Macによれば数秒後)ビデオブラウザーのインターフェイスに置き換えられる。長い広告を見る必要があるものの、本物のコンテンツが再生されるそうだ。ストリーミングアプリとしては驚くほど洗練されており、再生されるのが違法コンテンツであることを除けばNetflixアプリのライバルになるレベルとのこと。

Zoshy+はApp Storeのレビューで海賊版動画ストリーミングアプリであると指摘されながら3週間ほど公開され続け、ユーザーのレーティングは5点満点中4.4点の高評価を獲得。Googleキャッシュに残っているApp Storeのアプリ情報ページ(6月14日保存)ではパズルカテゴリー68位だが、Internet Archiveに残っている6月7日のスナップショットでは3位になっている。

サーバー側の切り替えでAppleが本来許可しないコンテンツを配信する手法は何年も前から問題になっているが、根絶は難しいようだ。最近ではIPアドレスによって別のアプリに変わるアプリが見つかって話題になっている。

15314883 story
iOS

Apple、やっぱりApp Storeの検索結果で自社アプリを優遇か? 31

ストーリー by nagazou
証拠はあるのか→はい 部門より
headless 曰く、

Appleは2019年にApp Storeの検索結果で自社アプリを優先的に表示しているとの疑惑を否定していたが、疑惑を裏付けるような証拠がEpic Games 対 Appleの訴訟で提出されている。この証拠はApp Storeの検索機能がひどいというEpic CEOのTim Sweeney氏からの不満について、2018年にApple社内でやりとりされた電子メールの内容だ(The Vergeの記事)。

Sweeney氏は新しいiPhoneをセットアップしていつも使うアプリ12本をインストールした際、アプリの正確な名前で検索しても目的のアプリが検索結果1位に表示されたことは一度もなかったと述べている。「Dropbox」に至っては最初のページにも表示されず、検索結果1位にはAppleの「Files (ファイル)」が表示されたという。また、「Fortnite」が検索結果1位に表示されないことに対しては特に強く不満の意を示し、日によってMicrosoftや他の会社が検索結果を買っているなどと述べ、ランキング操作をやめるように求めている。

これについてApp Storeの検索を担当する責任者のDebankur Naskar氏は、前回(2017年)のWWDCの間「Dropbox」を検索すると「Files」が1位に表示されるよう手作業で調整していたが、現在は元に戻したと述べている。また、「Fortnite」の検索結果は問題ないようだとしつつ、広告の表示に関してはiAdチームと調査すると述べている。一方、App Store担当VPのMatt Fischer氏はFilesアプリを上位に持ち上げていたことを知らなかったと述べ、誰から頼まれてどのように対応したのか知りたいと述べている。ただし、今後は自分を通して処理するようにと述べており、検索結果の順位調整には反対していないように見える。

しかし、AppleはThe Vergeに対し、「Dropbox」を検索するとFilesが1位に表示されていたのは手違いだと述べている。FilesアプリはDropboxのサービスに対応しており、Appleがメタデータに「Dropbox」と入れたため、「Dropbox」を検索すると自動的にFilesが1位になったのであり、手動で順位を調整していないことを強調したとのことだ。

15307078 story
お金

アップルにiPhoneを修理に出した女性、裸の写真とセックス動画を自分のSNSに投稿される 97

ストーリー by nagazou
とんでもないことが起きてた 部門より
The Telegraphの報道によると、米国オレゴン州に住む当時10代の女子大生が2016年に、Appleに自分のiPhoneの修理を依頼したところ、修理業者の手によって中にあった写真と動画が勝手に取り出され、しかも彼女本人が投稿したかのようにFacebookアカウントに投稿されたという事件が起きていたという(The Telegraphクーリエ・ジャポンАфиша Dailydetikcom)。

その後の経緯はタレコミにあるとおりで、最終的にAppleが数百万ドルの補償金を支払ったとしている。Appleが彼女に最終的に支払った金額自体は不明だが、報道によれば彼女の弁護士は500万米ドルを要求していたとのこと。Appleはこの事件のあと、セキュリティシステムを強化し、同様のリーク事件が再発しないよう対策を取ったとしている。

tamaco 曰く、

2016年アップルにiPhoneの修理に出した女子大学生、アップル公認の修理業者により、彼女のフェイスブックアカウントから、まるで彼女自身がアップしたと思われるような形で勝手に「さまざまな段階の脱衣姿の写真10枚とセックスビデオ」を投稿した。

友人から彼女に連絡が入り、これらの画像はすぐに削除された。
事件をおこした修理業者の技術者2人はすぐに解雇され、より監視体制を厳格にした

この事件による「深刻な精神的苦痛」の慰謝料として、アップルが女子学生に数百万ドルを支払ったと英紙「デイリー・テレグラフ」が報じている。

iPhoneのロックはFBIでも解除困難と聞いていたので、修理に出す前にはロックするようにしている。しかしまさか修理業者が端末のデータに簡単にアクセスできるなんて想定外だし怖い話ではある。

情報元へのリンク

15306124 story
お金

App Storeの高収益アプリトップ1000、2%近くが詐欺アプリ 31

ストーリー by nagazou
チェック機能があったはずでは 部門より
headless 曰く、

The Washington Postの調べによると、AppleのApp Storeで高収益アプリ上位1,000本のうち2%近くが「フリースウェア」とも呼ばれる詐欺アプリだったそうだ(The Washington Postの記事Mac Rumorsの記事9to5Macの記事)。

フリースウェアとは定期課金により機能に見合わない高額な利用料を請求する詐欺アプリを指し、試用期間に課金情報の登録を求めてキャンセルを忘れたユーザーに課金し続けたり、メジャーブランドを騙ったりするものもあるという。こういったアプリはマルウェアとはいえないため、金品を巻き上げるという意味の「fleece」を使った「フリースウェア」という用語が考案されたとのこと。

App Store Reviewガイドラインでは不当に高い金額を請求するアプリが禁じられており、2月には高額課金アプリへの対策を開始したとも報じられているが、フリースウェアは少額な課金を繰り返すことで規制を迂回しているようだ。The Washington Postの分析により発見されたフリースウェアは18本。Appfiguresによれば、これらのアプリは公開以降の合計で4,800万ドルをユーザーから騙し取ったと推定されるという。そのうち30%は手数料としてAppleに入ることになる。Appleは通報を受けて18本のうち3分の2をApp Storeから削除したそうだ。

15302621 story
スラッシュバック

米カリフォルニア州上級裁判所、Appleの最高セキュリティ責任者に対する贈賄罪での訴追を棄却 2

ストーリー by nagazou
山吹色のアップルパイ認可 部門より
headless 曰く、

米カリフォルニア州サンタクララ郡の州上級裁判所が1日、Appleの最高セキュリティ責任者 Thomas Moyer氏に対する贈賄罪での訴追を棄却したそうだ(Reutersの記事The Vergeの記事Mac Rumorsの記事The Registerの記事)。

カリフォルニア州サンタクララ郡の検事局はMoyer氏が保留になっていたApple従業員の銃器携帯申請4件の許可を条件に、200台のiPadを郡保安官事務所に寄付すると郡保安官事務所職員2名に約束したと主張。カリフォルニア州では銃器を外から見えない状態(CCW)で携帯する場合、ライセンスが必要になる。これを受けて昨年11月、大陪審がMoyer氏を起訴していた。

しかし州上級裁判所のEric S. Geffon判事は、Moyer氏は寄付を約束したとされる2019年の会談より1年以上前から保安官事務所とCCW許可について話し合っており、会談の時点では既に申請が認められて間もなく許可証が発行されると考えていたことを証拠が示していると指摘する。

判事は検事局の主張が完全な推測であり、大陪審に提示された証拠はそれを裏付けていないこと、寄付は特定の職員ではなく保安官事務所に贈るものであり、Apple内部の規定に従って寄付を申請していたことなどを挙げ、検事局の主張が誤りだと結論付けたとのことだ。

15299717 story
iPhone

iPhoneで電話番号履歴の地名表示にバグ。埼玉県本庄市と秋田県由利本荘市で 110

ストーリー by nagazou
機種ごとの設定要件ってなんだ 部門より

東京新聞によるとiPhoneから、埼玉県本庄市などの市外局番「0495」にかけたり、その番号で受けたりすると履歴に「秋田県由利本荘市」と表示される問題が起きているそうだ(東京新聞)。

このバグのせいで、本庄市は市役所から市民に電話した場合、出てもらえない場合があるとして困っているとのこと。由利本荘市の市外局番「0184」から電話した場合は正しく表示されるそうだ。本庄市では2019年の秋頃からApple側に対処を求めているそうだが、対応してもらえていないそう。東京新聞ではAppleにも問い合わせているが、

アップル社は「問題は把握している」としながら「機種ごとに設定要件が変わるので、対応が難しい」と回答。

とのこと。

15298762 story
アップル

Apple M1プロセッサに設計上の脆弱性が見つかる 39

ストーリー by nagazou
今のところは問題ないようです 部門より
「Apple M1」プロセッサ上にLinuxを移植する過程で、M1プロセッサに設計上の脆弱性があることが判明したそうだ。この脆弱性を発見したHector Martin氏は「M1RACLES」と名付けている。M1RACLESはすでにCVE-2021-30747識別子として割り当てられているという(CVE-2021-30747PhoronixTECH+Ubergizmo JAPAN)。

この脆弱性では、OS上で実行されている2つのプロセス間で、OS側の機能を必要とせずにデータ交換できるというもの。これは異なる権限レベルで動作するプロセス間でも動くとされている。ただ、この脆弱性を悪用するためには、システムが侵害されている状態でなければならず、そうでない状況では悪用は難しいとされている。この脆弱性がM1プロセッサの後継モデルで修正されるかは不明。
15288349 story
プライバシ

カスタムURIスキームを利用して異なるWebブラウザーにわたりユーザー追跡を可能にする手法 2

ストーリー by nagazou
あの手この手 部門より
headless 曰く、

カスタムURIスキームを利用することで、異なるWebブラウザーにわたるユーザーの追跡が可能になるという「scheme flooding」脆弱性をFingerprintJSが公開している(FingerprintJSのブログ記事Ghacksの記事HackReadの記事デモページ)。

この脆弱性はカスタムURIスキームを使用して外部プロトコルのハンドラー呼び出しを試みることで、Webサイトがユーザーのシステムに対応アプリがインストールされているかどうかを知ることが可能というものだ。カスタムURIスキームを利用するアプリのリストを生成することで、システムにインストールされた複数の異なるWebブラウザーで共通の識別子を生成できる。FingerprintJSでは影響を受けるブラウザーとしてデスクトップ版のTor Browser/Safari/Chrome/Firefoxを挙げているが、Chrome以外のChromiumベースブラウザーも影響を受けるとみられる。

ChromiumベースのブラウザーではカスタムURIスキーム実行時にダイアログボックスが表示され、ユーザーの意志に反したアプリケーションの起動を防ぐ仕組みが備わっているが、いったん内蔵PDFビューアーを起動するとこの仕組みがバイパスされる問題があるという。これについてはFingerprintJSがバグとして報告している。

FingerprintJSが公開しているデモでは24のアプリケーションに対応するカスタムURIスキームをチェックして24ビットの識別子を生成する。現在のところmacOSとWindowsにのみ対応しており、Linux上では正しく動作しない。

15288550 story
iPhone

アップル日本法人、5G対応スマホを電気通信事業法の割引制限対象から除外するよう要望 45

ストーリー by nagazou
Appleが言ったら余計に反発しそう 部門より
共同通信社によれば、Appleの日本法人が17日に務省の有識者会議に参加し、総務省の定めた「携帯電話端末の割引の上限は2万円程度」とする電気通信事業法の割引制限方針を5Gスマートフォンに関しては解除することを求める要望を出したという。同社の主張では、日本国内の5G利用率が低いことから、5Gの普及のためにも値引き幅の拡大が必要であるとしている(共同通信)。なお総務省に提出されたと見られるAppleの資料は競争ルールの検証に関するWGの構成員のみ閲覧できる非公開扱いとなっている(競争ルールの検証に関するWG(第18回))。
15287269 story
テクノロジー

AirTagのネットワークをハックしてデータを送受信する 16

ストーリー by nagazou
スパイの皆さんにはよさげ 部門より
Appleが4月に発表した紛失防止タグ「AirTag」では、Apple製品のネットワークを活用することにより、iPhoneの「探す」アプリから忘れ物や紛失物を見つけ出せる。このときに利用されるFindMyネットワークを利用して、近くのAppleデバイスに任意のデータをアップロード手法がセキュリティ企業のPositive Securityによって開発されたという。この手法を試すためのツールに関してもGitHub上で公開されている(Positive SecurityGitHubINTERNET WatchGIGAZINE)。

AirTagが隣接した位置にあるiPhoneを経由して位置情報を送信する仕組みを利用し、任意のデータを送受信するというものだそう。INTERNET Watchの記事によれば、AirTagはセキュリティのため位置情報を暗号化して送信する仕組みを採用しており、AirTagに偽装したツールを使って位置情報代わりにメッセージを送信することで、Appleに把握させることなくメッセージの送受信が行える模様。
typodupeerror

ナニゲにアレゲなのは、ナニゲなアレゲ -- アレゲ研究家

読み込み中...