Mac App Store、不正な処理を行っていたアプリについて通報後も1か月放置 20
結局通報だけでは動かないのか 部門より
headless曰く、
個人情報をユーザーに無断で送信していることが8月初めにAppleへ報告されていたセキュリティアプリ「Adware Doctor:Anti Malware &Ad」が1か月後になってようやくMac App Storeから削除された(Objective-See's Blog、9to5Mac、Mac Rumors、Softpedia News)。
Adware DoctorはSafariをはじめとするWebブラウザーの履歴やApp Storeの検索履歴、実行中プロセスの一覧などをZIPファイルに格納して中国のサーバーに送信していたという。ユーザーの同意なく個人情報を収集することは、App Store Reviewガイドライン5.1.1に違反する。なお、通常のアプリはサンドボックス化により他のアプリの情報を取得することはできないが、このアプリはマルウェアの検出に必要だなどとしてユーザーのパーミッションを得ていた。詳細については元NSAハッカーのパトリック・ウォードル氏が発見者のジョン・マックス氏(@privacyis1st)と協力して調査を行った結果を、Objective-See's Blogの記事にまとめている。
このアプリはもともと「Adware Medic」として公開されていた「Malwarebytes for Mac(当時の名称はAdwareMedic)」の偽物で、いったんMac App Storeから削除されていたが、その後「Adware Doctor」という名称で再公開されたものだという。削除前、日本のMac App Storeでは600円で販売されており、Mac App Storeの有料アプリランキングではスウェーデンで2位、カナダで4位、デンマークで6位に入る人気アプリだった。なお、アプリ自体は削除されているが、現在のところ上述の3か国向けページではランキングに入ったままだ。
マックス氏やウォードル氏から報告を受けたAppleは定型の返信をしたのみで特に動きはなかったが、Objective-Seeの記事を各メディアが一斉に報じた直後にアプリを削除したようだ。このほか、マックス氏は同じ開発者による「AdBlock Master:Block Popup Ads」と別の開発者による「Komros Anti Malware & Adware」(いずれも無料)についても同時に問題を指摘しており、これらも既に削除されている。さらに、トレンドマイクロの「Dr. Cleaner」と「Dr. Antivirus」でも同様の問題を指摘し、PoC動画をVimeoで公開している。なお、これら2本のアプリは日本のMac App Storeでは公開されていなかったようだ。
これとはまた別件だが、App Storeで公開されている人気iOSアプリ20本以上がユーザーの位置情報などをデータマネタイゼーション企業に販売していると、GuadianAppが指摘している。
問題あるソフトは配信止めないと (スコア:2)
問題あるソフトはちゃんと配信を止めないと、ストア全体の価値が落ちるのにね。
よく言うじゃん、One bad apple spoils the barrel って。
Re: (スコア:0)
つまりApple一社が業界全体を腐らせてると・・・
Re: (スコア:0)
「不正な処理を行っていたアプリについて通報後も1か月放置」って放置していたのだろうか
明らかに破壊行為をするアプリなら判断し易いかもしれませんが
データを送信する類だとEULAやアプリの内容によっては「問題」に分類されないかも知れない
通報の有無、通報の量などだけでは愉快犯や妨害などで公開停止させようとしてるかを判断できないし
Re:問題あるソフトは配信止めないと (スコア:2)
EULAに書かれてたとしても、脆弱性を利用したりソーシャルエンジニアリング的な手法で動作してるならNGにしないと駄目じゃない?
Re: (スコア:0)
ん?
善意の個人による通報はいたずらと見分けが付かないから対処まで一ヶ月以上かかっても仕方がない
メディアに騒がれた場合にはイメージダウンが痛いから精査すっ飛ばして即座に対処する
それが当然である
って言いたいのですか?
Re: (スコア:0)
ハハハ、今まで明確な理由もなく突然人気アプリを消したりしてきたのに何言ってんの?
Re: (スコア:0)
すでに巨大なマーケットになってるから、1件くらいの報告でいちいち調査しとれん、ってのはありそう。
ソーシャル投票的に、複数の報告があって初めて動く、って感じだろうと予測。
Re: (スコア:0)
それは、マイクロソフトやグーグルのストアも同じ。
きちんと精査してほしい、品質上げてほしいものだ。
Re: (スコア:0)
App Storeの場合はタイトルにiPhoneとか付けると速攻アウトだけども
情報収集とかはまずノーチェックだったんだがな。
ちょっと動かした程度で目に見える問題以外はまず指摘されなかったし。
というか今回も迂闊な外部送信でばれただけか
Re: (スコア:0)
リンゴってそのままでも結構長持ちするイメージなので、ミカンの方が実体験もあってしっくり来ます
#Appleは永遠に不滅です、とは言ってませんよ
Re: (スコア:0)
Twitterみたいに、虚偽通報かどうかろくに調べもせずすぐ止めるのとどっちがいい?
Re: (スコア:0)
Twitterの問題は「とりあえず止める」ではなく「とりあえず止めた後の対応がクソ」なこと
問題点がかなりズレてる
Re: (スコア:0)
「ろくに調べもせず止める企業」と「ろくに調べもせず何もしない企業」
ならどっちもどっちでしょう
今回は解説blogまで記述するような人が通報してるので
動くに足る根拠がないような粗末な内容の通報だったとは思えないんですよね
新製品発表前で忙しかったんだよ (スコア:0, おもしろおかしい)
余計な手間をかけさせないでほしいですね。
すぐに消すってわけにはいかんだろ (スコア:0)
不正な動作をするアプリがあるっていう報告を社外から受けても、それを調べる時間と手間がかかるわけで
Re: (スコア:0)
うちの会社だとしたら
・法務部門でEULAの確認
・事実関係を当事者に確認
で、2週間はかかるかな。
・資料まとめて経営会議
で、1週間。
理解ができていない経営者からの質問がフィードバックされて
・もう一度資料まとめて経営会議
で、1週間。
・削除方法をまとめた資料作成
・運用部門にオペレーション依頼
で、1週間。
なんだ、放置なんかして無いじゃん!
Re: (スコア:0)
Appleの経営者はマイナーアプリ1個の配信停止すら確認して経営会議までやんのか・・・
実際は、EULAの確認とアプリの動作を確認すればいいだけで早けりゃ1週間以内に白黒付くけど通報が多くて取り掛かるまでに時間が掛かってるだけとかだろうな
1月で対応できてるならマシじゃないかね
某G社なんて適当な理由で逃げるか無視だよ
Re: (スコア:0)
>某G社なんて適当な理由で逃げるか無視だよ
具体的に、どのあたりが?
そしてそれがどうAppleのストア管理のまずさと繋がるの?
#信者はすぐ自己弁護と責任転嫁に走りたがるけど、
#結果的に自分が損してるってことにもっと敏感になった方が良いと思う。
Re: (スコア:0)
携帯アプリストアって、昔でいうと Vector.co.jp がやってたことだよね。
膨大な数をいちいちチェックするとなると、大変だよなあ。
Re: (スコア:0)
本来アプリ配布前にそれをやるべきじゃねーの