Appleは遠隔から iPhoneアプリを無効にできる 86
ストーリー by soara
緊急事態に備えて 部門より
緊急事態に備えて 部門より
あるAnonymous Coward 曰く、
Appleは、遠隔からiPhoneにインストールされたアプリケーションを無効にできるそうだ(GIZMODO・engadget・本家記事)。
バージョン2.XのファームウェアのCoreLocationのコンフィギュレーションファイルに https://iphone-services.apple.com/clbl/unauthorizedApps というURLが含まれており、このページに不正アプリケーションがリストアップされるようになっているとのこと。現在このリストには何も含まれていないようだが、iPhoneは時折ここにアクセスし、無効にすべきアプリケーションをチェックしているのだという。
なお、IT Wireの記事によるとAppleが意図せず悪意あるプログラムをApp Storeで配布してしまった場合のために「そのような機能は存在する(such a capability exists)」とジョブスもこれを認めている。「この機能を実行しなくていいに越したことはないが、このような機能を実装しないとすれば無責任である(Hopefully we never have to pull that lever, but we would be irresponsible not to have a lever like that to pull)」という。その端末にインストールされているアプリケーションをチェックし、場合によっては無効にするというこの機能、様々な問題を孕んでいると思うのだが、今後のAppleからの発表やユーザ動向に注目したい。
位置情報を取得する API (スコア:3, すばらしい洞察)
左下隅の小さなボタンに触ったときに呼び出される機能らしい。一度でも触った人なら
分かるように、かなりの精度で現在位置が表示される。
こういう機能を、後からダウンロードするアプリケーションに開放するとしても、
たしかにブラックリスト程度の安全策を施しておかないとユーザは安心できないと思う。
Re: (スコア:0)
というか、安全対策ならまずアンチウイルスソフトを作るのが筋ではないかと思う。
接続先がオンラインウイルススキャンみたいなものだったら問題ないと思う。何でアプリ単位で制限する仕組みなんだろう。
Re: (スコア:0)
市販のアンチウイルスソフトもほとんどはこの手のシグネチャ判定型だし、特定のAPIにhookかけて判定するようなHIPS型の方が少数派かと。
まあ、デフォで動いていて問答無用で無効にしちゃう部分がある種のユーザーにとって気に食わない部分なんだろうけど、今後Appleがこの「不正アプリケーションのリスト」を適正に管理する分には、ごく普通の一般ユーザーには問題は無いでしょう。
もしも今後、このリストによる誤爆が頻発したりだとかウイルスじゃないのにリストに載ってしまったとかいう問題が起きるようになったら、その時にあらためてAppleを叩けばいい。
「一般ユーザー」以外の、いろいろやりたい方面の人は自分でクラックするか、誰かがクラックするのを待てばいいだけの話だし。
Re: (スコア:0, おもしろおかしい)
「Appleだけは清く正しく利用者のための使い方しかしないんだ、他の企業とは違う」
とでも言わんばかりの信仰は見てる側が不快なので止めてくださいね。
Re:位置情報を取得する API (スコア:1)
その理屈だとどこの AV ソフトウェアベンダでも独裁権力発揮可能ということになってしまいます。 SYMANTECH や TRENDMICRO と同じ程度には信頼していいと思いますよ。
それと、元コメントのACさんも『Appleがこの「不正アプリケーションのリスト」を適正に管理する分には』という信頼するための前提条件と、『問題が起きるようになったら、その時にあらためてAppleを叩けばいい』という事後対策案を提示しています。 『信仰』しているようには見えませんが。
Re:位置情報を取得する API (スコア:1, おもしろおかしい)
ここまで読んで「どうやってエロビデオで独裁権力を発動するんだろう?」と思った。
最近はどうか知らんが、自分ら世代は「AV」とくれば「Adult Video」か「Audio/Visual」しかない。
Re:位置情報を取得する API (スコア:1)
http://www.google.com/search?hl=en&q=AV+Software&btnG=Search [google.com]
http://www.google.com/search?hl=en&q=AV+%E3%82%BD%E3%83%95%E3%83%8... [google.com]
日本語だと音響映像関連ソフトウェア、英語だと Anti-Virus Software が上位に来ますね。
さすがにポルノ関連は上位には無いようですが……。
Re:位置情報を取得する API (スコア:1)
1/3~1/2 くらいはそーいうのになりますよ?
http://www.google.co.jp/search?num=100&q=AV&lr=lang_ja [google.co.jp]
Re:位置情報を取得する API (スコア:1)
そのまま画像検索に切り替える、後ろに &safe=off を付ける、とかやるとアダルトビデオ系以外の方が稀になりますね。
# 英語圏で和製英語の略語を検索して「出てこないよ」なんて意味ないでしょ……。
Re: (スコア:0)
iPhoneを買うってその独裁政権に嬉々として亡命する行為じゃないんですか?
#退路確保AC
で、誰が困るの? (スコア:3, すばらしい洞察)
ぐらいだと思うんですが。
1は(公開してしまったことを除き)何の問題もない。2は叩かれるところかな、と思うんですが普通公開しないだろうと。いずれにせよ機能停止の問題ではなく「買った金返せ」ぐらいの話でしょう。
3はそもそもライセンスに違反してますから文句言える立場ではない(し、脱獄犯ならこの機能自体を殺す方法を考えるでしょう)。
「勝手に無効化される」と思うと一瞬腹が立つかも知れませんけど、冷静になってみると何も問題ないんですよね。
Re:で、誰が困るの? (スコア:1)
あと、事前に機能を公開していればさらに良かったと思います。利用者が知らない通信をしているだけに。
Re:で、誰が困るの? (スコア:1)
ただ、DNS cache poisoningとかとの連携でApple以外にこれを使われることがあると怖いですね。
◆IZUMI162i6 [mailto]
Re: (スコア:0)
いや必要だからインストールしたんだろうし、金返せじゃなく代替機能を用意しろ、でしょう。
Re: (スコア:0)
iPhone持ってないんでわからないのですが、Appの自動更新機能とかはあるんでしょうか?
App単位で自前で実装? App Storeに登録したら自動で更新?
自動で更新出来るとしても、対処出来るまでは機能停止したいこともあるんじゃないかな。
そういう時「Appleに要請すれば機能停止出来る」となれば開発者側としてはありがたいんじゃないかな。
その場合はもちろん黙って消しちゃうんじゃなくて「ご迷惑をおかけしますが、問題に対処出来るまでしばらく機能停止させていただきます。m(_ _)m」的な何かは必要でしょうけど。
Re:で、誰が困るの? (スコア:1)
iTunesかApp Storeで更新チェックすると、ダウンロード済みアプリでバージョンアップしているものが一覧表示されます。この状態で一括でダウンロードして更新することもできます。
ただ、自動で更新チェックやダウンロードするような機能はいまのところありません。
更新機能はApp Storeの機能として用意されているようです。
Re: (スコア:0)
大丈夫かもしれないけど、DNS詐称や毒なんて注入されたうえで
この正規のサーバとは別のサーバに接続されたら、iPhone3Gのアプリを
好き勝手に止めさせちゃえるってことになるので恐いですね。
キルスイッチの指令データを見ましたが、ただのテキストです。
テキストエディタでちょちょいと書いてしまえる単純な仕組み。
ユーザがどうしようもないところで、自分のiPhone3Gが破壊される
可能性が無くもないというのは、心配してもしょうがないから冷静で
いられるってところでしょうか。
Re: (スコア:0)
> 2. 悪意はないがAppleに都合の悪いAppを公開してしまったとき
用途は、これだと思います。
Appleは、AppleStoreで売るアプリのバグチェックもセキュリティチェックも
簡単な確認しかしないようなので、公開後に問題が見つかる可能性が高いです。
そのときにこの機能で無効にするのでしょう。
> 3. 非正規アプリへの対処
これは、現状では無いと思います。
これまでやってしまうと、仕組み的にブラックリストが巨大化してしまいますし、
巨大化したブラックリストの取得をiPhoneがGETする通信コストがエライコトに。
空騒ぎ (スコア:3, すばらしい洞察)
そして「遠隔からアプリを無効にする」という機能の存在はiPhoneのSDKが発表された時からMacworld [macworld.com]に報じらているように全く秘密でもなんでもない:
しきい値 1: ふつう匿名は読まない
匿名補正 -1
Re:空騒ぎ (スコア:1)
しきい値 1: ふつう匿名は読まない
匿名補正 -1
Re:空騒ぎ (スコア:1)
実際に関係ないからそう見えて当然。「遠隔からアプリを無効にする」という機能とCore Location Blacklistは無関係。
アップルが仕組みの仔細については説明してないので想像でしかないが、おそらくAppSoteの審査をパスしたアプリに後から重大な問題が見付かった時はデジタル証明を無効にして、syncする時に弾かれる様な仕組みじゃないかな。
しきい値 1: ふつう匿名は読まない
匿名補正 -1
Re:空騒ぎ (スコア:1)
それはJonathan Zdziarskiを皮肉ってるのか?
う~ん、わざと理解できないふりをしてるのか?
「https://iphone-services.apple.com/clbl/unauthorizedApps」というアドレスは「Core Location Blacklist」という物であって、ジョブスが言及した「遠隔からアプリを無効にする機能」とは全く別物。
別物なんだから当たり前。
しきい値 1: ふつう匿名は読まない
匿名補正 -1
バグ獲りはアップルにおまかせ? (スコア:2, すばらしい洞察)
バグをアップルに見つけて貰うという手法が出来そうですね。
自爆ボタンアプリがつくれる。 (スコア:2, おもしろおかしい)
いんじゃないですか? (スコア:1, 参考になる)
いいんじゃないですか?
windowsでいうところの「悪意あるアプリケーションの削除ツール」と似たような役割をするもんですよね。
別にユーザーがとやかく問題にする機能のようにも思えないですけど。
Re: (スコア:0)
アップルが気に入らんものは悪意のあるなしにかかわらず止めようと思えば止められるということ。
Re:いんじゃないですか? (スコア:3, すばらしい洞察)
そういうものはそもそもApp Storeに登録できないのでは? そのあたりが気に入らない人は脱獄 [mycom.co.jp]しちゃうようですが。
Re:いんじゃないですか? (スコア:1)
「Appleが意図せず悪意あるプログラムをApp Storeで配布してしまった場合のために「そのような機能は存在する(such a capability exists)」とジョブスもこれを認めている」そうだよ。
App Storeで買ったからといって完全な安全というものもなさそうだ。
>そのあたりが気に入らない人は脱獄しちゃうようですが。
その脱獄は、無効にすべきアプリチェック機能を殺しているのかな?
なんせ一番最初にやり玉にあがりそうですからね。
Re: (スコア:0)
事前の内容チェックなんて殆どしてないんじゃないの?
Re: (スコア:0)
MSのそれはMSが準備したパターンデータを元に駆除を行うツールで、ユーザにはそれを実行しない選択肢を選ぶことが出来る。
AppleのそれはAppleが準備したパターンデータを元にAppleにとって都合の悪いツールを動作停止させるもので、強制かつユーザの同意なしで行われている。
Re: (スコア:0)
いやしかし仕事上Windowsを使わないという選択肢はないが、
iPhoneを使わないという選択肢はある。うん。そういうことだと思う。
Re: (スコア:0)
iPhoneを使う限り必ず動くんだから、違うものでしょ
Re:いんじゃないですか? (スコア:1, 参考になる)
2006年くらいの時にがんばって最初のツールまで拒否したけど、その後も毎月通知してくるよ。2005年1月頃まで遡るのでがんばってくれたまえ。
# あきらめて入れたのでAC
攻撃の対象に (スコア:1, 参考になる)
Re:攻撃の対象に (スコア:5, 参考になる)
この記事 [computerworld.jp]の
>ジジアルスキー氏によると、同氏が“ある操作”を行ったところ、特定のアプリケーションを実質的に機能停止させることができたという。
この部分を読む限りだと、すでにアップル以外の人がアプリの機能を停止することに成功している様な感じから、
攻撃に使えそうで、かなり危険な仕様だと思います。
Re: (スコア:0)
登録第1号 (スコア:1, 興味深い)
なんか入ってますよ。記念すべき第1号?
Re:登録第1号 (スコア:2, おもしろおかしい)
「遠隔からiPhoneアプリを無効にする機能」だったら座布団一枚進呈。
Maliciousと書いてみるテスト (スコア:0)
自ら「Malicious」なんて名づけるマルウェアなんてほとんどないでしょう。
このキルスイッチ機能が批判を集めそうなので、
「こういう悪いソフトを止める機能なんだよ」
というアピールだと思うのは考えすぎですかね?
"Being really bad!"とか、わざとらしい表現ですね。
どういう悪いアプリなのか書いてないのでニセモノでしょう。
問題ないような気もするけどなー (スコア:0)
Appleが審査したものをAppleのサーバに後悔する仕組みになってるから,
そこらのセキュリティーの問題もAppleが管理するよ,って話でしょ。
作る側からすれば,冤罪で止められる可能性もあるけど,
どんなに無名なソフトでも使ってくれる
可能性が出てくるので(安心だから),歓迎したいなあ。
Re: (スコア:0)
Re: (スコア:0)
いつも何か目に見えない脅威と戦ってるんですね、わかります。
他メーカーはないの? (スコア:0)
実際は他メーカーでもこういう仕様を仕込んでる予感。
これだったら今頃スラドは大荒れ (スコア:2, おもしろおかしい)
まあ、携帯という特殊な環境であるにしろ、これは(やった会社によっては)大問題として叩かれてもおかしくないネタだと思う。
http だったら叩かれて当然 (スコア:1)
そりゃ http だったら確実に叩かれるでしょう。
今回の Apple のやつは https の URL ですよ。
Re:http だったら叩かれて当然 (スコア:1, すばらしい洞察)
SSLだからといっても、証明書やドメインやリダイレクト等を検証してなかったらうんにょり。
後はメンテナンスやエラー画面でアプリが起動しなくなるなんてお笑いがないと良いなぁ。
# 起動する毎にサーバーにつながらないエラーが出るアプリがあるのでID
Re:これだったら今頃スラドは大荒れ (スコア:1)
http://www.microsoft.com/japan/security/malwareremove/default.mspx [microsoft.com]
僕には同じようなものに見えます。
まぁ入れるか入れないかは選択できるんですが(確か)。
Re:他メーカーはないの? (スコア:1, すばらしい洞察)
実は同じ穴の狢でした、とバレたから笑いものにされてるだけでしょ。
因果応用、情状酌量の余地なし。
Re:他メーカーはないの? (スコア:1)
Re:他メーカーはないの? (スコア:1)
◆IZUMI162i6 [mailto]