■AppStoreってそもそも安全なんだろうか

Android Marketで偽装アプリ(セキュリティ研究者が配布した実害のないコンセプトマルウェア)のリモート削除が敢行されて微妙に話題が続いていたり、Androidは危険、iPhoneは安全、というのが巷の評価になっている。

しかしそもそもAppStoreは安全なのだろうか。

http://www.inside-games.jp/article/2009/11/24/38963.html

半年ほど前にこのような事例があった。

この会社が意図的に電話番号を抜いて集めていたのか、この会社が言う通りバグだったのかはこの際問題ではない。問題は「結果として電話番号を抜く挙動をしていた」こと自体は間違いないということだ。

つまりこのことは現実として「電話番号を抜いて通信で吸い上げる挙動をするアプリがAppleの審査を通っている」ことを意味している。

考えてみれば、iPhoneはカーネルレベルのAPIアクセス制御を行わないため、審査時点で行えるチェックは限られる。

単純にアプリを動かして動作を見るのでは、"こっそり"何かされる動作は全くチェックできない。

通信内容をスニファで監視するといったことは行っているのだろうか。いや、これは行っていないことは上の例から明らかだ。また、通信内容を暗号化されたら無力である。今回はたまたまプレーンテキストで送信していたからユーザが気づいたに過ぎない。

実行バイナリを静的走査して呼び出しているAPIをリストアップするなどは行っているのだろうか。しかしこれは悪意を持って呼び出し方法を細工されると検出は困難だ。

APIの呼び出しなどを監視しながら動作確認すれば動的にチェックできるが、Apple審査中は盗聴コードが動作しないような機構を入れておけばバレようもない。

要するに「抜いた個人情報を暗号化して送信するアプリは、Apple審査を通るし、ユーザにも気づかれない」のだ。

このことは「バレてないだけで既に横行している」可能性が相当高いことを意味している。というか現実にプレーンテキストで送信するアプリは無料ゲームのカテゴリ上位に堂々とランキングしていたのだ。他にないと信じる理由が無い。

つまりどういうことか。iPhoneは使うなということか。いや、そうではない。

ただ「Appleによってセキュリティが担保されている」という幻想は捨てるべきだ。

Permalink | トラックバック(1) | 15:34