今回のアプリ内課金の擦り抜けが意味するもの
今回のアプリ内課金の擦り抜けが意味するもの
※ この内容は、Mac 専用セキュリティソフトの老舗である フランス Intego 社のブログから転載されたものです。
ここのところ、iOS および Mac 用の iTunes App Store に影響するセキュリティの ハッキングのことが話題となっています。
Appleはこの問題に素早く反応し、 今後のハッキングを防ぐためにストアをパッチし始めました。
しかし、このハッキングを通して明らかになった事実は人々を不安にさせずにおきません。
この記事で現状、どのような状況なのかを確認すると共にこの問題が開発者およびユーザにとってどんな意味を持つのか考えてみましょう。
まず7月に、ロシアの Alexey Borodin というハッカーが、Appleにも開発者にもお金を支払わずに、どんなiOSアプ リでも、無料でアプリ内課金を使った購入が可能であることを発見しました 。
そしてAppleは、この問題に緊急で対応しました。
この問題は、iOS 6で完全に修正されますが、 現時点でも開発者は開発者のサーバ上で購入の認証を実行してから、App Storeとデータを交換すると言う手順を踏むことで対策を施すことが可能な状態です。
ただし、直接 App Store とやり取りするアプリは安全ではありません。
こうして API や手順が変更されたことで、Borodin は携帯端末を攻撃するのを止めました。
その代わりに、Grim Receiper というアプリケーションを使って、Mac App Storeを狙うことにしたのです。
アプリ内課金を無料で使えるなら使ってみたい、と思う人がいるかも知れません。
しかし、Grim Receiper を使えば、毎回未知の誰かにパスワードを含む iTunes ログイン情報が送られてしまうのです。
しかもそれだけでなく、各アプ リケーションの制限レベル、アプリID、バージョンID、デバイスのGUID、アプリ内課金の数量、アプリ内課金の提供名、アプリの識別子、アプリのバージョン、 使用言語、そして場所なども送信されてしまいます。
ロシアのサーバにウェブ経由でこれだけの個人情報が送られるのも驚きですが、 最も恐ろしいのは Apple がこれまですべてのユーザデータとパスワードを 通常のテキストとして送っていたと言う事実です。
もちろん、Apple にして みれば、自前のサーバ以外に、こうしたデータが送られる事態を想定していな かったわけですが、ユーザのセキュリティに非常な注意を払ってきたはずの Appleにしては、そのセキュリティに思わぬ落とし穴があったわけです。
Apple は、通信を暗号化し始めましたが、ちょっと遅すぎると思う人も多いでしょう。 倫理的な側面を抜きにしても、これは重大なセキュリティの問題を提起するとともに、今や有名なMat HonanのiCloud ハッキングのことがどうしても思い起こされます。
Apple は、こうしたすべての問題が、iOSと今後のMountain Lionで修正されると約束しています。
しかし、2003年に iTunes Store を公開してから約10年かけて多くのユーザから勝ち 得た信用を再構築するのは大変でしょう。
photo credit: haveboard via photo pin cc
By Sam Lawrence on September 11, 2012
出典:Intego Security Blog
Twitter:@IntegoSecurity
Mountain Lion 対応!!
ウイルスバリア X6
(ウイルス対策、不正アクセス対策、情報漏洩対策、iPhoneやiPad・iPodTouchのスキャンにも対応)
・ウイルスバリア X6 の特設ページを見る
・製品詳細を見る
インターネットセキュリティバリア
(ウイルスバリア X6 に加え、迷惑メール対策やバックアップツールなどが加わった総合セキュリティソフト)
・製品詳細を見る
Intego製品のアップデート情報などを弊社のツイッターアカウントでも公開しています。
Twitter:@act2com
Twitter:@act2support