パスワードを忘れた? アカウント作成
12557667 story
iOS

Apple、個人情報を盗むアプリを大量削除 48

ストーリー by hylom
審査をスルーする手法が増えてきた模様 部門より
あるAnonymous Coward 曰く、

Appleがメールアドレスやインストールされているアプリ一覧などを不正に収集するiOSアプリ256個をApp Storeから削除したとのこと。これらのアプリは中国のYoumi社が提供するSDKを使用していたという(Engadget Japanese)。

App Storeではリリースの際に審査があり、本来であればこういったアプリは却下されるはずであるが、YoumiのSDKでは巧妙にこれらの審査から機能を隠すようになっていたようだ。また、アプリ開発者側もこのSDKがこのような機能を持っているとは知らずに使っていた可能性が高いという。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • 登録前に十分審査をして、不正なアプリはAppleストアにきっちり登録させないようにできたらいいのに。
    と思ったら、

    >・・・YoumiのSDKでは巧妙にこれらの審査から機能を隠すようになっていたようだ。

    審査してたけど漏れてて、今回発覚したんスね。

    趣旨は違うけどこの間のニュースを思い出した。
    米中首脳会談後も米企業にサイバー攻撃、米セキュリティ会社が報告
    http://itpro.nikkeibp.co.jp/atcl/news/15/102003436/ [nikkeibp.co.jp]

    海洋でも情報戦でも首脳が約束しようとも、中華的侵攻は停められない。
    たぶんに組織がでかすぎるというか深くて末端まで浸透するのにも時間がかかるんだろうなぁ。

    • by Anonymous Coward

      この手のSDKに細工があるよーなやつってAndroidはどーなんスかね?

      • by Anonymous Coward on 2015年10月22日 16時09分 (#2904780)

        > この手のSDKに細工があるよーなやつってAndroidはどーなんスかね?

        SDKに小細工をしている理由が
        「Appleが安全安全と叫ぶよりどころにしているアプリ審査をすり抜けること」にあるという観点が重要です。

        Androidの場合そもそもその前提がないため、
        わざわざSDKに小細工をする理由が大幅に少ないとは言えるでしょう。

        Appleは「利用者が適切な警戒をする権利」すら剥奪して偽の安心を売りつけているのに対し、
        そんな誇大広告をしていないAndroidのほうが
        「利用者が適切な警戒をすることができる」という面で非常に健全ということです。

        親コメント
        • by Anonymous Coward

          巧妙にすり抜ける小細工をしている=「Appleが安全安全と叫ぶよりどころにしているアプリ審査をすり抜けること」
          SDKに細工をしている=「デベロッパを騙してマルウエアを潜り込ませる」

          Androidの場合、SDKに「小細工」をする必要はないが SDKに「細工」をする必要はある。

          • by Anonymous Coward on 2015年10月23日 1時29分 (#2905030)

            > SDKに細工をしている=「デベロッパを騙してマルウエアを潜り込ませる」
            > Androidの場合、SDKに「小細工」をする必要はないが SDKに「細工」をする必要はある。

            意味不明。
            SDKに細工をするもなにも、単に「信用できないSDKを使った開発者が馬鹿なだけ」だ。
            そこにAndroidもないもない。どんな開発プラットフォームでも同じ話だ。
            iOSだってMacだって同じ。

            今回問題なのは、
            「そういう細工されたSDKで開発されたアプリでも本来はAppleが喧伝している審査でブロックされるはず」だったのが
            まったくされなかったこと。
            Appleだけが完全に詐欺ということ以外の何物でもなく、他社に対して矛先向けることなんてできないよ。

            そのうえで

            > Androidの場合、SDKに「小細工」をする必要はないが SDKに「細工」をする必要はある。

            なにこの意味不明の言葉遊び?
            日本語がまともに使えないカタコトの人?

            親コメント
      • by Anonymous Coward on 2015年10月22日 18時45分 (#2904857)

        巷で騒がれてるのはほとんどが中国の野良Market(=中華ガラパゴス世界)だけど、Google Playにも時々お行儀の悪い奴は出てきてる
        一応GooglePlayはアップ時にウイルスチェック的な自動チェックは走ってて明らかに怪しい奴は蹴られたり人力チェックに回されたりするけど基本ザル
        一応要求されているパーミッションはちゃんと見ましょうくらいかな?

        iOSはセキュリティソフト自体を禁じてることもあって第三者による調査がほとんど行われてなくて、どちらかというとiOSの方が実態不明
        氷山がどのくらいでかいのかも誰にも分からない
        隠しAPIを使うと跳ねられるのもリフレクション使うとバレないし、時限式で審査中だけ機能を殺すテクなんか日本製のゲームでも普通に使われてる有様
        ぶっちゃけAppleの審査って、UIがガイドラインに沿ってるかとか、Appleのビジネスと競合してないかとか、落ちないかとかは厳しくチェックされるけど、セキュリティ審査はザル

        つーかセキュリティの事前チェックなんて技術的に無理ってのはAppStore立ち上がった当初から言われてるんだよね

        親コメント
      • by Anonymous Coward

        Androidは例外と考える理由は特にない。

        • by Anonymous Coward

          つまりANDROIDは安全ということですね

      • by Anonymous Coward

        >この手のSDKに細工があるよーなやつってAndroidはどーなんスかね?
        http://www.symantec.com/connect/ja/blogs/ios-android [symantec.com]

    • by Anonymous Coward

      巧妙に隠して審査漏れ、っていうのは当然あり得ることだけど、
      これをきっちり見つけ出すには、おそらくもっと時間と検知プログラムの開発が必要になるだろうけど、
      それやってたら、たぶん今以上にレビューの時間がかかって、申請からストアに並ぶまで数週間かかるようになっちゃうのかも。
      審査を通ればいいけど、落ちたらさらに数週間待ちとかだとやっとれんわな。
      現状で1週間少々かかるぽいし。

      マーケティングとして、ほとんど何も加えてないけど「アップデートしてるアピール」やユーザーの目に留めるために無駄にアップデート回数を増やしてる糞アプリとか消えればいいんだろうけどなぁ。

      • by Anonymous Coward on 2015年10月22日 15時20分 (#2904751)

        > 巧妙に隠して審査漏れ、っていうのは当然あり得ることだけど、
        > これをきっちり見つけ出すには、おそらくもっと時間と検知プログラムの開発が必要になるだろうけど、
        > それやってたら、たぶん今以上にレビューの時間がかかって、申請からストアに並ぶまで数週間かかるようになっちゃうのかも。
        > 審査を通ればいいけど、落ちたらさらに数週間待ちとかだとやっとれんわな。
        > 現状で1週間少々かかるぽいし。

        開発者の観点ではなく
        「Appleはしっかり審査してるからiOSは安全!!」という「Appleの」論調を本当に成立させたいなら実際にそうするべき、
        というかそうしなければいけません。

        それをしていない現状がすでに完全な詐欺です。

        親コメント
      • by Anonymous Coward

        >巧妙に隠して審査漏れ、っていうのは当然あり得ることだけど、
        そここそセキュリティ機能の構成として重要な所じゃん。
        頭に「ウイルス」と付いているウイルスソフトしか検知できないアンチウイルスソフトとかどう思うか?って疑問が。
        それでも「それをやっていたら重くなったり更新ファイルを作るのが間に合わなかったりするのかも」で良いのか?と。

  • >YoumiのSDKでは巧妙にこれらの審査から機能を隠すようになっていた

    それは Defeat Device の一種と言ってもいいのかな。

    --
    #説明責任はないです
    • by Anonymous Coward

      というか「審査から隠すことができる」時点で論外。

      「Appleが審査してるからiOSは安心!!」という意見が
      完全に間違っているということが証明された以上、

      「Appleが審査してるからiOSは安心!!という意見は危険!!iOSにも危険性はたくさんあります」

      という正しい情報を徹底的に周知するようにAppleは対応しなきゃいけないのが筋。

      もちろんAppleがそんなことするわけないけど。

      • by Anonymous Coward

        そもそも一切審査されてないAndroidよりは安全なんじゃね?

        • by Anonymous Coward

          と思われてしまう分だけ危なくね?

        • by Anonymous Coward

          アンドロはユーザーが権限を審査できる。
          「完全なインターネットアクセス」「連絡先データの読み取り」が同時に存在しないか、とか。

          • by Anonymous Coward

            Androidでも「連絡先の読み取りを許可せずにアプリを使用する」ことが出来るようになったんでしたっけ。
            良いところは互いに真似しあってどんどん改善していって欲しいですね。

          • by Anonymous Coward

            iOSアプリは初回連絡先読み取り時に確認メッセージでますよ

  • by Anonymous Coward on 2015年10月22日 14時18分 (#2904709)

    だったということですねえ

    • by Anonymous Coward

      具体的にどうすべきだったと?
      マシン語レベルでデバッグすべきだった?

      • by Anonymous Coward on 2015年10月22日 20時12分 (#2904899)

        > マシン語レベルでデバッグすべきだった?

        Apple自身が「審査してるからiOSは安全!!」と叫んでる以上、それが必要ならやらなければなりません。
        Apple信者は必死に目をそらしてますがAppleが詐欺行為を行っていることがそもそもの問題です。

        親コメント
  • by Anonymous Coward on 2015年10月22日 14時57分 (#2904733)

    8bitまでしか数えられないとかじゃ、ないよね? ぐ、偶然だぞ?

    • by Anonymous Coward

      0個はないから、1-256個か。うん

      # キリいいねって書こうと思って来た

  • だから違うだろと (スコア:0, すばらしい洞察)

    by Anonymous Coward on 2015年10月22日 15時11分 (#2904744)

    「AppStoreに大量の個人情報を盗むアプリが掲載されていると判明、ずさんな審査を行っていたAppleは対応に追われる」
    が正しいだろ

    なんでそこをすっ飛ばして
    「あたかも問題はすでに解決しているかのように」「Appleの審査責任については気づかれないように」書くんだよ?
    どんだけApple信仰で頭腐ってんだ?

    • by Anonymous Coward

      ストーリー by hylom

    • by Anonymous Coward

      こういうトピックの時だけ、得意の誤字脱字が全く出てこないという不思議さ。

    • by Anonymous Coward

      アプリを全数、全範囲静的解析できるのかって本質的問題がある
      アプリストアといわぬまでも、うpろだでもひとつ運営してみるといい
      あぽーだろうがぐぐるだろうがMSだろうが、これは叩きづらいだろ

      つかAppleに何を期待してるんだよ
      Appleの審査責任を問うってことは、Appleに期待してるってことだよな?
      MSあたりと混同してないか、法人向け製品を出してる企業じゃないんだぞ

      • by Anonymous Coward

        > アプリを全数、全範囲静的解析できるのかって本質的問題がある

        できてないのに「審査してるから安全」かのように謳ってるAppleが全面的に悪いだけ。

        > つかAppleに何を期待してるんだよ
        > Appleの審査責任を問うってことは、Appleに期待してるってことだよな?

        期待しているどうこう以前に「悪弊は良貨を駆逐する」から放置することは全世界についての問題。
        Appleが自主的な改善の出来ない本質的に腐った企業なら周囲が叩いて治すか追い出すかする必要がある。

        • by Anonymous Coward

          泥や窓といっしょにすんなよ

          泥や窓に失礼だぞ
          Appleは別格なんだ、あれはおもちゃにすぎん

      • by Anonymous Coward

        いや元コメはAppleに対する批判じゃなくて
        タレこみやスラド含めたメディアの取り上げ方に対する批判だろ?

        その本質的問題とやらもわからなくもないがAppleによる審査があったうえでストアに並んでしまった以上それは法人向けだとかに関わらずAppleの責任もあるでしょう

        • by Anonymous Coward

          むしろ、Appleストア以外からアプリをインスコできないのだから、他のだれも責任とりようがない。

  • by Anonymous Coward on 2015年10月22日 16時30分 (#2904791)

    どうして発表しないの?

    • by Anonymous Coward

      「Android向けでも出ているアプリならAndroidも危険と叫んで公表するが、iOS向けしかないなら公表しないほうが得と判断する」
      「問題のアプリが多くダウンロードされていればされているほど公表しないほうが得と判断する」

    • by Anonymous Coward

      発表したら、アップルにいいことあるの?
      発表してもしなくても信心の心は揺らぎません。
      そう、カルト信者ならね。

      #「なんら対策を打てない状況で、」(不正に個人情報を収集するアプリを)こんなにたくさんの中から選んだことも、
      #こんなに簡単にダウンロードしたことも、そしてこんなふうに楽しんだこともきっとないはず。
      #そう、iPhone以外ではね

  • by Anonymous Coward on 2015年10月22日 20時50分 (#2904924)

    Androidもほとんどが "フリー" = "個人情報で購入" だし

    • by Anonymous Coward

      Androidの方がiOSと比べると権限管理が厳格なのでユーザーにバレやすいってのはあったりする
      セキュリティソフト売りたい皆さんが目を光らせてるからなおさら発覚が早い

      一方のiOSは審査一旦通してしまえばほぼ何でも有りで一般のユーザーが自衛する手段が事実上無い
      一昔前のiOSなんて電話帳すら確認無しでブッコ抜き放題でフリー上位100のアプリを抜き打ちチェックしたら1割近くが電話帳抜いてたほど

      • by Anonymous Coward

        一昔前のiOSなんて電話帳すら確認無しでブッコ抜き放題

        iOS5のころはそうでしたね。
        ずいぶん前のことのような気がしていましたが、ほんの3年前までは確認も無しで読み放題だったんですね。

    • by Anonymous Coward

      AndroidというかGoogleアカウントは本来それを承知して使うものでしょうが、Appleユーザーは同じように考えてくれてますかね?

    • by Anonymous Coward

      > Androidもほとんどが "フリー" = "個人情報で購入" だし

      iOSは「カネ払った上に個人情報も抜かれる」なのでAndroidのほうが良心的ですね。

  • by Anonymous Coward on 2015年10月23日 0時07分 (#2905010)

    元記事を読むとプライベートAPI(非公開API)が使われていたことが書いてありますが、iOSってプライベートAPIを使うと個人情報を黙って取得することができるということでしょうか?
    プライベートAPIが使われているかどうかを調べるのってかなり難しい気がするのですけど、どうなのでしょう?

    • by Anonymous Coward
      静的検査で簡単に調べられますよ。
      • by Anonymous Coward

        関数呼び出しは基本はアドレスの呼び出しなのですから、偽装して動的にアドレスを作成すれば静的検査では見つからないでしょう。ASLR(アドレスをランダムにする仕組み)があるので、ある程度は回避できそうですが。

        簡単に調べられるのに今回の問題が見つけられなかったとしたら、Appleの審査がザルすぎることになります。

  • by Anonymous Coward on 2015年10月23日 14時07分 (#2905235)

    中国のアプリは中華圏内だけで配信すれば、安全ってことだなw
    審査もしてないアプリよりは少しマシな程度って思ってたけど?
    Winとか泥のストアには中華なゴミアプリが沢山あるから、入れるとき気を遣うんだよね。
    Winもゴミアプリが少なかったらもう少し何とかなりそうだけど、放置だろうな。

    • by Anonymous Coward

      それはそれで単なる馬鹿だ。
      危険なアプリは何処製のでも有り得る。
      日本製だろうがアメリカ製だろうが実例には事欠かない。

typodupeerror

私はプログラマです。1040 formに私の職業としてそう書いています -- Ken Thompson

読み込み中...