今回のアプリ内課金の擦り抜けが意味するもの
今回のアプリ内課金の擦り抜けが意味するもの
※ この内容は、Mac 専用セキュリティソフトの老舗である フランス Intego 社のブログから転載されたものです。
ここのところ、iOS および Mac 用の iTunes App Store に影響するセキュリティの ハッキングのことが話題となっています。
Appleはこの問題に素早く反応し、 今後のハッキングを防ぐためにストアをパッチし始めました。
しかし、このハッキングを通して明らかになった事実は人々を不安にさせずにおきません。
この記事で現状、どのような状況なのかを確認すると共にこの問題が開発者およびユーザにとってどんな意味を持つのか考えてみましょう。
まず7月に、ロシアの Alexey Borodin というハッカーが、Appleにも開発者にもお金を支払わずに、どんなiOSアプ リでも、無料でアプリ内課金を使った購入が可能であることを発見しました 。
そしてAppleは、この問題に緊急で対応しました。
この問題は、iOS 6で完全に修正されますが、 現時点でも開発者は開発者のサーバ上で購入の認証を実行してから、App Storeとデータを交換すると言う手順を踏むことで対策を施すことが可能な状態です。
ただし、直接 App Store とやり取りするアプリは安全ではありません。
こうして API や手順が変更されたことで、Borodin は携帯端末を攻撃するのを止めました。
その代わりに、Grim Receiper というアプリケーションを使って、Mac App Storeを狙うことにしたのです。
アプリ内課金を無料で使えるなら使ってみたい、と思う人がいるかも知れません。
しかし、Grim Receiper を使えば、毎回未知の誰かにパスワードを含む iTunes ログイン情報が送られてしまうのです。
しかもそれだけでなく、各アプ リケーションの制限レベル、アプリID、バージョンID、デバイスのGUID、アプリ内課金の数量、アプリ内課金の提供名、アプリの識別子、アプリのバージョン、 使用言語、そして場所なども送信されてしまいます。
ロシアのサーバにウェブ経由でこれだけの個人情報が送られるのも驚きですが、 最も恐ろしいのは Apple がこれまですべてのユーザデータとパスワードを 通常のテキストとして送っていたと言う事実です。
もちろん、Apple にして みれば、自前のサーバ以外に、こうしたデータが送られる事態を想定していな かったわけですが、ユーザのセキュリティに非常な注意を払ってきたはずの Appleにしては、そのセキュリティに思わぬ落とし穴があったわけです。
Apple は、通信を暗号化し始めましたが、ちょっと遅すぎると思う人も多いでしょう。 倫理的な側面を抜きにしても、これは重大なセキュリティの問題を提起するとともに、今や有名なMat HonanのiCloud ハッキングのことがどうしても思い起こされます。
Apple は、こうしたすべての問題が、iOSと今後のMountain Lionで修正されると約束しています。
しかし、2003年に iTunes Store を公開してから約10年かけて多くのユーザから勝ち 得た信用を再構築するのは大変でしょう。
photo credit: haveboard via photo pin cc
By Sam Lawrence on September 11, 2012
出典:Intego Security Blog
Twitter:@IntegoSecurity
Mountain Lion 対応!!
ウイルスバリア X6
(ウイルス対策、不正アクセス対策、情報漏洩対策、iPhoneやiPad・iPodTouchのスキャンにも対応)
・ウイルスバリア X6 の特設ページを見る
・製品詳細を見る
インターネットセキュリティバリア
(ウイルスバリア X6 に加え、迷惑メール対策やバックアップツールなどが加わった総合セキュリティソフト)
・製品詳細を見る
Intego製品のアップデート情報などを弊社のツイッターアカウントでも公開しています。
Twitter:@act2com
Twitter:@act2support
AppleによるSnow Leopard用 Javaアップデートのサプライズ
AppleによるSnow Leopard用Javaアップデートのサプライズ
※ この内容は、Mac 専用セキュリティソフトの老舗である フランス Intego 社のブログから転載されたものです。
先週の水曜日、Oracleがその前の木曜日に緊急公開した パッチに呼応するかのように、AppleもJava 6がインストールされた Mac 用のJavaアップデー トを公開しました。
当初のアップデートで修正できない他の Java ゼロデイ問題があった事は明らかでしょう。
興味深いのは、Appleが現行および一世代前の Mac OS XであるMountain LionおよびLion用だけでなく、二世代前のSnow Leopard用アップデートも公開した事です。
Appleが、自前のSafariブラウザの Snow Leopard用セキュリティアップデートをもう公開していないことを考える と、今回のアップデートはセキュリティ業界にとって思いがけない出来事でした。
例えば7月の下旬、Appleは、Mountain LionとLionだけを対象に、Safari 6を 公開しました。
これは、セキュリティ修正のためのアップデートだったにも関わらず、WindowsおよびSnow Leopard用のブラウザはアップデートされなかったのです。
このSafariのアップデートは、121という膨大な数のセキュリティ脆弱性 をパッチするものだったにも関わらずです。
しかし、昨年のLionの発売と 同時に、Appleは、OSにJavaをバンドルするのを止めました。
そして、今年登場した新しいオペレーティングシステム、Mountain Lionでも、Java は搭載されていません。
しかし、Appleは、LionをMac App StoreでSnow Leopard 用アップグレードとして発売しました。
Mountain Lionは、Snow Leopardおよび Lion用のアップグレードとして、同様に販売されています。
LionとMountain LionがSnow Leopardからのアップグレードとして提供されてい ることを考えれば、JavaがバンドルされていたSnow Leopardからアップグレード したユーザのために、Java 6が公開されるのは当然と思われます。
しかし、 Appleが、わざわざSnow Leopard用にもJavaアップデートを用意した理由が分かりません。
Snow Leopard用には、Safariブラウザ用のメジャーなセキュリティ アップデートさえ行わなかったAppleが、なぜJavaセキュリティアップデートを 公開したのでしょう?
答えは、見つかりません。
それは、車のエンジンが壊れ る可能性が分かっているのに放置し、ファンベルトだけを取り替えるようなものなのですから。
Appleが、今後のSnow Leopard用のセキュリティアップデートに対して、どのよ うな考えを持っているのかは、さらに分かりません。
例えば、Macの「噂サイト」 では、AppleがLion用のバージョン10.7.5のアップデートを準備していると囁かれています。
しかし、Snow Leopard用の同様のアップデートの話は出ていません。 もっとも、Appleが、Snow Leopard用のSafariアップデートを公開しないのに、 Javaアップデートを公開したからと言って、いちいち驚いてはいけないのかも知 れません。
思い起こしてみれば、Appleは、Leopard用Safariのセキュリティアップデートを 2011年の7月以降は公開していないのに、2012年の5月に、古くなって脆弱性も あるFlash Playerを無効にするLeopard専用のセキュリティアップデートを公開 しています。
その間に、Snow Leopard とLionにはいくつものSafari用セキュリティアップデートを公開しましたが 、Leopardには公開しませんでした。
いずれにしろ、Appleのセキュリティアップデート方針には、一貫性がありません。
Appleが、特定の製品に対して、いつまでセキュリティアップデートを提供 するのか、明らかな方針を公開してくれたら素晴らしいでしょう。
ちなみに、 Microsoftは、そのオペレーティグシステムおよび製品のライフサイクルと関連する 日付を公開しています。
By Joshua Long on September 7, 2012
出典:Intego Security Blog
Twitter:@IntegoSecurity
Mountain Lion 対応!!
ウイルスバリア X6
(ウイルス対策、不正アクセス対策、情報漏洩対策、iPhoneやiPad・iPodTouchのスキャンにも対応)
・ウイルスバリア X6 の特設ページを見る
・製品詳細を見る
インターネットセキュリティバリア
(ウイルスバリア X6 に加え、迷惑メール対策やバックアップツールなどが加わった総合セキュリティソフト)
・製品詳細を見る
Intego製品のアップデート情報などを弊社のツイッターアカウントでも公開しています。
Twitter:@act2com
Twitter:@act2support
※ この内容は、Mac 専用セキュリティソフトの老舗である フランス Intego 社のブログから転載されたものです。
先週の水曜日、Oracleがその前の木曜日に緊急公開した パッチに呼応するかのように、AppleもJava 6がインストールされた Mac 用のJavaアップデー トを公開しました。
当初のアップデートで修正できない他の Java ゼロデイ問題があった事は明らかでしょう。
興味深いのは、Appleが現行および一世代前の Mac OS XであるMountain LionおよびLion用だけでなく、二世代前のSnow Leopard用アップデートも公開した事です。
Appleが、自前のSafariブラウザの Snow Leopard用セキュリティアップデートをもう公開していないことを考える と、今回のアップデートはセキュリティ業界にとって思いがけない出来事でした。
例えば7月の下旬、Appleは、Mountain LionとLionだけを対象に、Safari 6を 公開しました。
これは、セキュリティ修正のためのアップデートだったにも関わらず、WindowsおよびSnow Leopard用のブラウザはアップデートされなかったのです。
このSafariのアップデートは、121という膨大な数のセキュリティ脆弱性 をパッチするものだったにも関わらずです。
WindowsおよびSnow Leopard用のSafariはなし!
しかし、昨年のLionの発売と 同時に、Appleは、OSにJavaをバンドルするのを止めました。
そして、今年登場した新しいオペレーティングシステム、Mountain Lionでも、Java は搭載されていません。
しかし、Appleは、LionをMac App StoreでSnow Leopard 用アップグレードとして発売しました。
Mountain Lionは、Snow Leopardおよび Lion用のアップグレードとして、同様に販売されています。
LionとMountain LionがSnow Leopardからのアップグレードとして提供されてい ることを考えれば、JavaがバンドルされていたSnow Leopardからアップグレード したユーザのために、Java 6が公開されるのは当然と思われます。
しかし、 Appleが、わざわざSnow Leopard用にもJavaアップデートを用意した理由が分かりません。
Snow Leopard用には、Safariブラウザ用のメジャーなセキュリティ アップデートさえ行わなかったAppleが、なぜJavaセキュリティアップデートを 公開したのでしょう?
答えは、見つかりません。
それは、車のエンジンが壊れ る可能性が分かっているのに放置し、ファンベルトだけを取り替えるようなものなのですから。
Appleが、今後のSnow Leopard用のセキュリティアップデートに対して、どのよ うな考えを持っているのかは、さらに分かりません。
アップデートの輪からのけ者にされ て可哀想なSnow Leopard
例えば、Macの「噂サイト」 では、AppleがLion用のバージョン10.7.5のアップデートを準備していると囁かれています。
しかし、Snow Leopard用の同様のアップデートの話は出ていません。 もっとも、Appleが、Snow Leopard用のSafariアップデートを公開しないのに、 Javaアップデートを公開したからと言って、いちいち驚いてはいけないのかも知 れません。
思い起こしてみれば、Appleは、Leopard用Safariのセキュリティアップデートを 2011年の7月以降は公開していないのに、2012年の5月に、古くなって脆弱性も あるFlash Playerを無効にするLeopard専用のセキュリティアップデートを公開 しています。
その間に、Snow Leopard とLionにはいくつものSafari用セキュリティアップデートを公開しましたが 、Leopardには公開しませんでした。
いずれにしろ、Appleのセキュリティアップデート方針には、一貫性がありません。
Appleが、特定の製品に対して、いつまでセキュリティアップデートを提供 するのか、明らかな方針を公開してくれたら素晴らしいでしょう。
ちなみに、 Microsoftは、そのオペレーティグシステムおよび製品のライフサイクルと関連する 日付を公開しています。
By Joshua Long on September 7, 2012
出典:Intego Security Blog
Twitter:@IntegoSecurity
Mountain Lion 対応!!
ウイルスバリア X6
(ウイルス対策、不正アクセス対策、情報漏洩対策、iPhoneやiPad・iPodTouchのスキャンにも対応)
・ウイルスバリア X6 の特設ページを見る
・製品詳細を見る
インターネットセキュリティバリア
(ウイルスバリア X6 に加え、迷惑メール対策やバックアップツールなどが加わった総合セキュリティソフト)
・製品詳細を見る
Intego製品のアップデート情報などを弊社のツイッターアカウントでも公開しています。
Twitter:@act2com
Twitter:@act2support
AntiSecの情報は、FBIからでなく、Appメーカ「Blue Toad」のもの
AntiSecの情報は、FBIからでなく、Appメーカ、Blue Toadのもの
※ この内容は、Mac 専用セキュリティソフトの老舗である フランス Intego 社のブログから転載されたものです。
先週のFBI が収 集した1千2百万の UDID のデータベースの一部だとされた情報漏洩について、あたふたした人がいるならばそれは無用な心配であったようです。
ご承知 の通り、インターネット上に書かれた事がすべて本当とは限りません。
特に、 真実を知らせるよりことも話題を集めることにご執心な人が書いたのであれば、まずは疑ってかかるべきなのです。
面倒な世の中になりましたよね。 嘘でも、本当の話が少し混ざっていると騙されやすいものです。
実際、 AntiSec の事件には、真実も含まれていました。
彼らは、確かにたくさ んの UDID が記載されたデータベースを盗んだのです。
ただし、FBI からではありませんでした。
また個人を特定できる情報を含む1千2百万の UDID のリストでもありませんでした。
実際には多くの人が想像した通り、App メーカから盗まれたものだったのです。
今朝、Blue Toad は、漏洩のソースが、自分たちのデータベースであることを確認しました 。
Blue Toad によれば、データベースの内容は一致したが、そのデータベー スには AntiSec が言い張ったような個人を特定する情報は含まれていないということです。
結論から言えば、昨日まで心配していた人ももう一息ついてよいということです。
今回の事件で、あえて良い面を探すとすれば、GawkerのAdrian Chen のチュチュ姿の写真を楽しめたこ とでしょうか。
By Lysa Myers on September 10, 2012
出典:Intego Security Blog
Twitter:@IntegoSecurity
Mountain Lion 対応!!
ウイルスバリア X6
(ウイルス対策、不正アクセス対策、情報漏洩対策、iPhoneやiPad・iPodTouchのスキャンにも対応)
・ウイルスバリア X6 の特設ページを見る
・製品詳細を見る
インターネットセキュリティバリア
(ウイルスバリア X6 に加え、迷惑メール対策やバックアップツールなどが加わった総合セキュリティソフト)
・製品詳細を見る
Intego製品のアップデート情報などを弊社のツイッターアカウントでも公開しています。
Twitter:@act2com
Twitter:@act2support
※ この内容は、Mac 専用セキュリティソフトの老舗である フランス Intego 社のブログから転載されたものです。
先週のFBI が収 集した1千2百万の UDID のデータベースの一部だとされた情報漏洩について、あたふたした人がいるならばそれは無用な心配であったようです。
ご承知 の通り、インターネット上に書かれた事がすべて本当とは限りません。
特に、 真実を知らせるよりことも話題を集めることにご執心な人が書いたのであれば、まずは疑ってかかるべきなのです。
面倒な世の中になりましたよね。 嘘でも、本当の話が少し混ざっていると騙されやすいものです。
実際、 AntiSec の事件には、真実も含まれていました。
彼らは、確かにたくさ んの UDID が記載されたデータベースを盗んだのです。
ただし、FBI からではありませんでした。
また個人を特定できる情報を含む1千2百万の UDID のリストでもありませんでした。
実際には多くの人が想像した通り、App メーカから盗まれたものだったのです。
今朝、Blue Toad は、漏洩のソースが、自分たちのデータベースであることを確認しました 。
Blue Toad によれば、データベースの内容は一致したが、そのデータベー スには AntiSec が言い張ったような個人を特定する情報は含まれていないということです。
結論から言えば、昨日まで心配していた人ももう一息ついてよいということです。
今回の事件で、あえて良い面を探すとすれば、GawkerのAdrian Chen のチュチュ姿の写真を楽しめたこ とでしょうか。
By Lysa Myers on September 10, 2012
出典:Intego Security Blog
Twitter:@IntegoSecurity
Mountain Lion 対応!!
ウイルスバリア X6
(ウイルス対策、不正アクセス対策、情報漏洩対策、iPhoneやiPad・iPodTouchのスキャンにも対応)
・ウイルスバリア X6 の特設ページを見る
・製品詳細を見る
インターネットセキュリティバリア
(ウイルスバリア X6 に加え、迷惑メール対策やバックアップツールなどが加わった総合セキュリティソフト)
・製品詳細を見る
Intego製品のアップデート情報などを弊社のツイッターアカウントでも公開しています。
Twitter:@act2com
Twitter:@act2support