Mac App Storeがユーザーを危険にさらす可能性 40
ストーリー by headless
審査待ち 部門より
審査待ち 部門より
Mac App Storeはセキュリティ問題の修正されていない旧バージョンのアプリケーションを提供し続けて、ユーザーを危険にさらす可能性があるとのこと。セキュリティ研究家のジョシュア・ロング氏がブログで指摘した
(
the JoshMeister on Securityブログの記事、
ITmediaの記事
)。
ロング氏によると、WebブラウザーのOperaは深刻なセキュリティ問題を修正したバージョン11.11が公開されているが、App Storeでダウンロード可能なバージョンは11.01とのこと。App Storeに登録された最初のバージョンだ。ロング氏はAppleとOpera双方に連絡しており、Operaからの回答によればApp Storeの審査待ちなのだという。現時点での解決方法は手作業で旧バージョンを削除し、OperaのWebサイトから最新版をダウンロードしてインストールするしかないとのことだ。
最新版に更新されていないアプリケーションはOperaだけではない。AmazonのKindleアプリケーションの最新版は1.5.1だが、Mac App Storeで公開されているバージョンは1月に公開された1.2.3とのこと。Amazonは更新履歴を公開していないため、バージョン1.2.3にセキュリティ上の問題があるかどうかは不明だ。
OpenSSL 日本語サイトよりましです (スコア:4, おもしろおかしい)
Re: (スコア:0)
インフォサイエンスって大昔はいい会社だったんだけどなぁ・・・何をどう間違ったらここまで落ちぶれるんだ?
っつーか人の出入りが激しすぎだろ。古き良き時代のエンジニアは誰も残っていない。
というより、根本的な疑問 (スコア:4, 興味深い)
たとえばブラウザアプリを作りました。
そのときはAppleの審査通りました。
AppStoreで公開され適当に利用者も増えてきました。
ブラウザアプリのバージョンアップをします。
セキュリティホールも直り、UIも改善し、機能も増えました。
・・・Appleの審査がなぜか通りませんでした。
いや、でも今のバージョンすでに他方面では公開してるし。
なんてことになると、本当にニッチもサッチも行かなくなりますよね。
一般的なアプリ配信元は、
「配信元の都合で配信アプリのバージョンアップを許さないなんてことはしない」
のが当たり前ですが
AppleのAppStoreではAppleのためにならないアプリは独裁的に排除される、
なんてのは昔から言われているとおりであって。
中期以上のスパンで見ると、
ベンダーにも利用者にも異常にリスクが高いんじゃないでしょうか。
Mac App Storeに限らず (スコア:2, 参考になる)
この問題はMac App Storeに限った問題ではなく、ソフトを実体ごと預かってそこから配布しているシステム全般に当てはまる問題だと思うんですが、どうなんでしょう。
例えばVectorで公開されてるソフトが作者のサイトにあるものに比べると微妙に古いとか、割とよくあることですよね。
もちろん、審査をチンタラやってるせいでいつまで経ってもバージョンが上がらないっていうんであれば、そこは改善の余地ありですが。
#作者のサイトが消えてもソフト自体は残ってくれるのでありがたい仕組みではあるのですが
Re:Mac App Storeに限らず (スコア:1, 興味深い)
Vectorだと審査に時間がかかっても一週間くらいですし、ずっと古いバージョンが残っているのは作者が更新依頼を出さないせいです。
>もちろん、審査をチンタラやってるせいでいつまで経ってもバージョンが上がらないっていうんであれば、そこは改善の余地ありですが。
まさにそこが障害になっているのでは。
審査が不透明な上に時間がかかりすぎるのは以前から言われています。
Re: (スコア:0)
> まさにそこが障害になっているのでは。
そこが唯一最大のポイントですよね。
> ソフトを実体ごと預かってそこから配布しているシステム全般に当てはまる問題
なんでこうなるのか???
Re:Mac App Storeに限らず (スコア:1, 参考になる)
Operaの例が出ているけど、現状はインストール後に直ぐに自動更新になるだろうから、それ自体は良いことではないが大きな問題ではない。
問題は、セキュリティアップデートすら審査が必要であるって所かな。
特にAppleはコンテンツの流れ全部を自身で管理したいって風潮が有るから、それがコンボになると、サードソフトの安全性は全てAppleの考え次第って事になる。
Re: (スコア:0)
これは、「セキュリティアップデートです! だから早くしてね」
って言うことで審査が早くなるなら、あまり関係ない更新でも
みんなセキュリティアップデートで申請するようになるだけでしょう
Re: (スコア:0)
それは流石にAppleをバカにし過ぎ。
既に一度審査したのならその結果は管理されているだろうから、その置き換えなら新規とは別枠で扱う事は難しくない筈。
Vecterでも出来る事がAppleに出来ない理由は無いと思うんですが。
Re:Mac App Storeに限らず (スコア:1, 興味深い)
> そこから配布しているシステム全般に当てはまる問題だと思うんですが、
> どうなんでしょう。
どうなんでしょうといわれても、Mac App Storeに限った問題でしょう。
今回の話に置いては。
他にも似たような問題のあるアプリケーション管理サービスはあるかも
しれませんけど、Mac App Storeほど露骨な競争妨害はないですよね。
> 例えばVectorで公開されてるソフトが作者のサイトにあるものに比べると
>微妙に古いとか、割とよくあることですよね。
それは作者がVectorへの更新を怠っているからとかでしょう。
Vectorはけっこう迅速に対応してくれると思いますが。
> もちろん、審査をチンタラやってるせいでいつまで経ってもバージョンが
>上がらないっていうんであれば、そこは改善の余地ありですが。
だから、そういう問題ですよね。
脆弱性修正のアップデートであって、メジャーバージョンアップとかではないし、
審査の何にそんなに時間がかかっているのか、正当な理由が全く分からない。
不当な理由なら、AppleのSafariの競合製品だから意図的に遅らせているのだ
というものは容易に推測できますよね。
Operaをポルノ指定した例もあるし、どこまで汚い手を使うんだろう。
Re: (スコア:0)
iPhoneだと、Operaに限らずブラウザはみんな確認が出てくるなあ。
(最初から入ってるSafariはもちろん例外だけど)
Re: (スコア:0)
Re:Mac App Storeに限らず (スコア:1)
Mac App Storeも同様に開発元へのリンク [opera.com]が張ってあります。しかしそこから飛んでそのページからダウンロードリンクを探しインストールするとApp Storeのアップデート機能には当然引っかからないので、アプリが自前でアップデートチェックをしないといけません。App Store版は使ったことがないのですが、おそらくApp Store版はアップデートチェック機能が禁止されているのではないかと思います。
#Vectorはたまに使うけど昔よりは明らかに落ちた
Re: (スコア:0)
yumとかでしかアップデートしないブラウザ@linuxもだね。
Re: (スコア:0)
普通本家サイトからダウンロードしてると思うんだけど
てかApp Storeって10.6しか対応していないから殆どのユーザーはApp Store使えていないはず
タイトルどうにかなりませんか (スコア:2, すばらしい洞察)
これじゃMac App Storeに関するネガティブな記事としかわかりません。
アプリの脆弱性なのか個人情報が漏洩したのか運営方針の話かiPod爆裂アプリでも登場したのか。
普段はこういうのRSSでみかけても「ああネガキャンか」と思ってスルー力向上の糧にしますが、
念のため1回くらいは誰か指摘したほうがいいかもと思って指摘しときます。
Re:タイトルどうにかなりませんか (スコア:1, 参考になる)
タイトルだけ見て記事を読んだつもりになってしまう方が、よほど問題かと。
あと、おそらくリンク先などご覧になっておられないのでしょうが、タレコミにある「the JoshMeister on Securityブログの記事」のタイトルが"Apple's Mac App Store Puts Users At Risk"です。
headless氏の記事は時々酷い改変をみかけますけど、今回は氏に非があるとは言い難いでしょう。
Re: (スコア:0)
今回のタイトルで「個人情報が漏洩した」や「爆裂アプリ」という解釈はさすがに強引では?
(その二つなら、「個人情報漏洩」などとタイトルに入れるのが普通でしょう)
で、まさしく残る二つの「アプリの脆弱性」と「運営方針の話」なので、ちゃんと理解できるタイトルだと思いますが。
更新されなさ過ぎ (スコア:0)
Operaは何度もバージョンアップしているだろうに3/1のバージョン以降App Storeでのバージョンが上がっていないのが気になりますね。
問題は何だろう?
・App Storeに申請してから公開されるまでの期間が長い?
・OperaがApp Storeに申請するのが遅かった?
ほかのソフトウェアは結構頻繁に更新がくるので,Operaには何か特別な事情でもあるのだろうか?
Re: (スコア:0)
>・App Storeに申請してから公開されるまでの期間が長い?
アップルの排他的な今までのやり方から考えるとSafariの競合相手になるOperaに対してわざと遅くやっている可能性も考えられますね。
Re: (スコア:0)
米国ですから「Appleはセキュリティアップデートなのに審査を遅らせて、ユーザーを危険にさらしているので代表損害賠償(懲罰的3倍増含む)」ってことになれば、迅速に動くのではないかと^^;
でもApp StoreでOperaがそんなに売れているとは思えない(´・ω・`)
Re:更新されなさ過ぎ (スコア:1, おもしろおかしい)
結論:他人が管理するソフトなんぞ使うな (スコア:0)
当時教室に通ってた人で今でもコード書いてる人ってどのぐらい残ってるんだろ?
必要なのは (スコア:0)
Re: (スコア:0)
Apple製品はWindowsみたいにウイルスが出回ってないから安全な時期なんて一時もありません。
馬鹿が勝手にそう思っていただけです(含むアップルジャパン)
また、セキュリティを気にしてもApple製品を使ってはダメなんてこともありません。
セキュリティ意識とアップル製品の使用の有無はまったく関係のない話です。
Re:だから (スコア:2, 興味深い)
アップデートが提供される期間が不明であるため、最新のメジャーアップデートをし続けないと
「穴あき」のまま使い続けることになる可能性がある…とか、セキュリティが気になって
個人的には使いたくないですね。
如何なる内容であろうとACでの書き込みは一切無視します。
Re:だから (スコア:1)
> OS X10.0~10.3まで16bitコードが残っていて
この頃はMacはPowerPCを使っていたわけですが、PowerPCに「16bitコード」ってあるんでしたっけ?
Re:だから (スコア:1, 興味深い)
32/64bit CPUだから。
おそらくClassic上の68Kコードのことでしょう。
古い拡張コード付きのHyperCardとか、Directorとかあれば、動かして動かないことはないでしょうが、
MacOS Xを使うようになってまで、32bitクリーンじゃない拡張コードとか入れるようなアホはいないでしょう。
Re: (スコア:0)
Re: (スコア:0)
linuxは本気でケアするシステムなら自分でpatch当てられる.
windowsは本気で金を出すシステムならMSがpatch作ってくれる.
appleは?
Re: (スコア:0)
馬鹿が大丈夫と騒いでいるときには、
分かってる人はわざわざネガなこと言わなくても良いかと黙っている。
大丈夫じゃないと分かると、騒いでいた馬鹿は知らんぷりで黙って、
分かっている人は馬鹿が騒いでいただけという。
馬鹿と分かってる人、互いの身勝手な無責任が組み合わさって生まれ出る詐術の恐ろしいことよ。
Re: (スコア:0)
韓国でのMacのシェアを考えればMacユーザはチョンとは程遠いと思いますが。
# とマジレス
Re: (スコア:0)
Re: (スコア:0)
そんなことをいってはいけません。
マカ男ちゃんは、れっきとした共産党員なんだそうです。
スターリン主義だからバリバリなんです。
マカの販売員は仮の姿。