パスワードを忘れた? アカウント作成
328098 story
アップル

Mac App Storeがユーザーを危険にさらす可能性 40

ストーリー by headless
審査待ち 部門より

Mac App Storeはセキュリティ問題の修正されていない旧バージョンのアプリケーションを提供し続けて、ユーザーを危険にさらす可能性があるとのこと。セキュリティ研究家のジョシュア・ロング氏がブログで指摘した ( the JoshMeister on Securityブログの記事ITmediaの記事 )。

ロング氏によると、WebブラウザーのOperaは深刻なセキュリティ問題を修正したバージョン11.11が公開されているが、App Storeでダウンロード可能なバージョンは11.01とのこと。App Storeに登録された最初のバージョンだ。ロング氏はAppleとOpera双方に連絡しており、Operaからの回答によればApp Storeの審査待ちなのだという。現時点での解決方法は手作業で旧バージョンを削除し、OperaのWebサイトから最新版をダウンロードしてインストールするしかないとのことだ。
最新版に更新されていないアプリケーションはOperaだけではない。AmazonのKindleアプリケーションの最新版は1.5.1だが、Mac App Storeで公開されているバージョンは1月に公開された1.2.3とのこと。Amazonは更新履歴を公開していないため、バージョン1.2.3にセキュリティ上の問題があるかどうかは不明だ。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by reininn (35924) on 2011年05月22日 12時48分 (#1956621)
    これ [infoscience.co.jp]は、10年物だぞ!
    • by Anonymous Coward

      インフォサイエンスって大昔はいい会社だったんだけどなぁ・・・何をどう間違ったらここまで落ちぶれるんだ?

      っつーか人の出入りが激しすぎだろ。古き良き時代のエンジニアは誰も残っていない。

  • by Anonymous Coward on 2011年05月22日 15時04分 (#1956671)

    たとえばブラウザアプリを作りました。
    そのときはAppleの審査通りました。
    AppStoreで公開され適当に利用者も増えてきました。
    ブラウザアプリのバージョンアップをします。
    セキュリティホールも直り、UIも改善し、機能も増えました。
    ・・・Appleの審査がなぜか通りませんでした。
        いや、でも今のバージョンすでに他方面では公開してるし。

    なんてことになると、本当にニッチもサッチも行かなくなりますよね。

    一般的なアプリ配信元は、
    「配信元の都合で配信アプリのバージョンアップを許さないなんてことはしない」
    のが当たり前ですが
    AppleのAppStoreではAppleのためにならないアプリは独裁的に排除される、
    なんてのは昔から言われているとおりであって。

    中期以上のスパンで見ると、
    ベンダーにも利用者にも異常にリスクが高いんじゃないでしょうか。

  • by Angelica (23122) on 2011年05月22日 11時48分 (#1956595) 日記

    この問題はMac App Storeに限った問題ではなく、ソフトを実体ごと預かってそこから配布しているシステム全般に当てはまる問題だと思うんですが、どうなんでしょう。
    例えばVectorで公開されてるソフトが作者のサイトにあるものに比べると微妙に古いとか、割とよくあることですよね。

    もちろん、審査をチンタラやってるせいでいつまで経ってもバージョンが上がらないっていうんであれば、そこは改善の余地ありですが。

    #作者のサイトが消えてもソフト自体は残ってくれるのでありがたい仕組みではあるのですが

    • by Anonymous Coward on 2011年05月22日 12時21分 (#1956604)

      Vectorだと審査に時間がかかっても一週間くらいですし、ずっと古いバージョンが残っているのは作者が更新依頼を出さないせいです。

      >もちろん、審査をチンタラやってるせいでいつまで経ってもバージョンが上がらないっていうんであれば、そこは改善の余地ありですが。

      まさにそこが障害になっているのでは。
      審査が不透明な上に時間がかかりすぎるのは以前から言われています。

      親コメント
      • by Anonymous Coward

        > まさにそこが障害になっているのでは。

        そこが唯一最大のポイントですよね。

        > ソフトを実体ごと預かってそこから配布しているシステム全般に当てはまる問題

        なんでこうなるのか???

    • by Anonymous Coward on 2011年05月22日 13時02分 (#1956626)

      Operaの例が出ているけど、現状はインストール後に直ぐに自動更新になるだろうから、それ自体は良いことではないが大きな問題ではない。

      問題は、セキュリティアップデートすら審査が必要であるって所かな。
      特にAppleはコンテンツの流れ全部を自身で管理したいって風潮が有るから、それがコンボになると、サードソフトの安全性は全てAppleの考え次第って事になる。

      親コメント
      • by Anonymous Coward

        これは、「セキュリティアップデートです! だから早くしてね」
        って言うことで審査が早くなるなら、あまり関係ない更新でも
        みんなセキュリティアップデートで申請するようになるだけでしょう

        • by Anonymous Coward

          それは流石にAppleをバカにし過ぎ。
          既に一度審査したのならその結果は管理されているだろうから、その置き換えなら新規とは別枠で扱う事は難しくない筈。
          Vecterでも出来る事がAppleに出来ない理由は無いと思うんですが。

    • by Anonymous Coward on 2011年05月23日 8時55分 (#1956910)
      > この問題はMac App Storeに限った問題ではなく、ソフトを実体ごと預かって
      > そこから配布しているシステム全般に当てはまる問題だと思うんですが、
      > どうなんでしょう。

      どうなんでしょうといわれても、Mac App Storeに限った問題でしょう。
      今回の話に置いては。

      他にも似たような問題のあるアプリケーション管理サービスはあるかも
      しれませんけど、Mac App Storeほど露骨な競争妨害はないですよね。

      > 例えばVectorで公開されてるソフトが作者のサイトにあるものに比べると
      >微妙に古いとか、割とよくあることですよね。

      それは作者がVectorへの更新を怠っているからとかでしょう。
      Vectorはけっこう迅速に対応してくれると思いますが。

      > もちろん、審査をチンタラやってるせいでいつまで経ってもバージョンが
      >上がらないっていうんであれば、そこは改善の余地ありですが。

      だから、そういう問題ですよね。
      脆弱性修正のアップデートであって、メジャーバージョンアップとかではないし、
      審査の何にそんなに時間がかかっているのか、正当な理由が全く分からない。

      不当な理由なら、AppleのSafariの競合製品だから意図的に遅らせているのだ
      というものは容易に推測できますよね。

      Operaをポルノ指定した例もあるし、どこまで汚い手を使うんだろう。
      親コメント
      • by Anonymous Coward
        >Operaをポルノ指定した例
        iPhoneだと、Operaに限らずブラウザはみんな確認が出てくるなあ。
        (最初から入ってるSafariはもちろん例外だけど)
    • by Anonymous Coward
      例えばVectorとかはタダだし、作者のサイトへのリンクが張ってあってそこから最新版を簡単にダウンロード出来るようになっているんじゃないの?(実はここ数年間Vectorを使ったことがない)
      • Mac App Storeも同様に開発元へのリンク [opera.com]が張ってあります。しかしそこから飛んでそのページからダウンロードリンクを探しインストールするとApp Storeのアップデート機能には当然引っかからないので、アプリが自前でアップデートチェックをしないといけません。App Store版は使ったことがないのですが、おそらくApp Store版はアップデートチェック機能が禁止されているのではないかと思います。

        #Vectorはたまに使うけど昔よりは明らかに落ちた

        親コメント
    • by Anonymous Coward

      yumとかでしかアップデートしないブラウザ@linuxもだね。

    • by Anonymous Coward
      OperaやKindleをわざわざApp Storeでダウンロードしてる人っているんだろうか?
      普通本家サイトからダウンロードしてると思うんだけど
      てかApp Storeって10.6しか対応していないから殆どのユーザーはApp Store使えていないはず
  • by Anonymous Coward on 2011年05月22日 16時19分 (#1956706)

    これじゃMac App Storeに関するネガティブな記事としかわかりません。
    アプリの脆弱性なのか個人情報が漏洩したのか運営方針の話かiPod爆裂アプリでも登場したのか。
    普段はこういうのRSSでみかけても「ああネガキャンか」と思ってスルー力向上の糧にしますが、
    念のため1回くらいは誰か指摘したほうがいいかもと思って指摘しときます。

    • by Anonymous Coward on 2011年05月22日 23時13分 (#1956843)

      タイトルだけ見て記事を読んだつもりになってしまう方が、よほど問題かと。
      あと、おそらくリンク先などご覧になっておられないのでしょうが、タレコミにある「the JoshMeister on Securityブログの記事」のタイトルが"Apple's Mac App Store Puts Users At Risk"です。
      headless氏の記事は時々酷い改変をみかけますけど、今回は氏に非があるとは言い難いでしょう。

      親コメント
    • by Anonymous Coward

      アプリの脆弱性なのか
      個人情報が漏洩したのか
      運営方針の話か
      iPod爆裂アプリでも登場したのか。

      今回のタイトルで「個人情報が漏洩した」や「爆裂アプリ」という解釈はさすがに強引では?
      (その二つなら、「個人情報漏洩」などとタイトルに入れるのが普通でしょう)
      で、まさしく残る二つの「アプリの脆弱性」と「運営方針の話」なので、ちゃんと理解できるタイトルだと思いますが。

  • by Anonymous Coward on 2011年05月22日 12時10分 (#1956599)

    Operaは何度もバージョンアップしているだろうに3/1のバージョン以降App Storeでのバージョンが上がっていないのが気になりますね。
    問題は何だろう?

    ・App Storeに申請してから公開されるまでの期間が長い?
    ・OperaがApp Storeに申請するのが遅かった?

    ほかのソフトウェアは結構頻繁に更新がくるので,Operaには何か特別な事情でもあるのだろうか?

    • by Anonymous Coward

      >・App Storeに申請してから公開されるまでの期間が長い?
      アップルの排他的な今までのやり方から考えるとSafariの競合相手になるOperaに対してわざと遅くやっている可能性も考えられますね。

      • by Anonymous Coward

        米国ですから「Appleはセキュリティアップデートなのに審査を遅らせて、ユーザーを危険にさらしているので代表損害賠償(懲罰的3倍増含む)」ってことになれば、迅速に動くのではないかと^^;

        でもApp StoreでOperaがそんなに売れているとは思えない(´・ω・`)

        • Re:更新されなさ過ぎ (スコア:1, おもしろおかしい)

          by Anonymous Coward on 2011年05月23日 8時48分 (#1956908)
          そして、その後、当然、なにかセキュリティ問題があったら、 「Appleはアップデートの審査に手を抜いて、ユーザーを危険にさらした」っていう代表訴訟が起こるんですよね。 今の状態は、Appleが慎重にセキュリティチェックもしてくれていると考えれば、腹を立てる必要はないのかも。
          親コメント
  • by Anonymous Coward on 2011年05月22日 12時51分 (#1956623)
    そうして再び街中にBASIC教室が乱立するのでした

    当時教室に通ってた人で今でもコード書いてる人ってどのぐらい残ってるんだろ?
  • by Anonymous Coward on 2011年05月22日 22時17分 (#1956836)
    AppStoreじゃなくて、AppDirectoryだな。
typodupeerror

目玉の数さえ十分あれば、どんなバグも深刻ではない -- Eric Raymond

読み込み中...