アカウント名:
パスワード:
この Smooz というブラウザは、普通の App Store の審査だけでなく、個人情報の不正送信機能が実装されている状態 iOS のデフォルトブラウザの審査にも合格(2020年11月19日)していました。
https://www.jiji.com/jc/article?k=000000042.000021601&g=prt [jiji.com]
2020年9月より提供が開始されたiOS14/iPad14では、サードパーティのブラウザアプリもデフォルトアプリに設定可能になり、ウェブブラウジングだけではなく、リンクを開いた時に使用するアプリも利用者が選択可能になりました。このたび「Smooz」はApp Storeの審査を経て、デフォルトブラウザ設定に対応しました。(中略)Appleが選ぶApp Storeの2016年ベストアプリに選出されました。
App Store は審査があるから安全だとか、Apple が Safari エンジンのブラウザしか審査で認めない(Google Chrome も Apple 版は Safariエンジン)のは安全のためで独占のためではないとか、信じている方も結構いるようですけど、とんでもないざる審査であることが明らかになりました。
私もこの問題が記事になってから当該アプリを軽く分析していましたが、不正送信を秘匿するような高度な実装はなされておらず、20~30分程度あれば話題になっているような個人情報の不正送信がなされていることを簡単に調べられる状況でした。
つまりは、Appleの審査はまともに審査すれば1時間もかからず確実に発見できる個人情報の不正送信すら見逃す審査であって、普通のApp Storeだけでなく「デフォルトブラウザ設定」の審査ですらその程度だということです。
App Store の審査は全くの役立たずであって、Androidのような別ストアやapkの直接ダウンロードを認めないことの正当性は失われたと言っても過言ではありません。
分かりにくい部分があったので追記iOSのブラウザのレンダリングエンジンはAppleが開発する「WebKit」を使用することが義務付けられており、そうでないと審査に通過しません。
https://news.mynavi.jp/article/20190331-iphone_why/ [mynavi.jp]
AppleがWebKit以外のレンダリングエンジンの採用を許さない理由は明確にされていませんが、セキュリティ上の理由と考えることが妥当でしょう。インターネットと直接つながるWEBブラウザは、外部から攻撃/侵入される危険につねに晒されるため、その中枢にあるレンダリングエンジンを外部企業に委ねるとリスク
連打するだけでパスワード突破できたり、ヒントでパスワードそのものを見せたりするOS作る会社ですから
> 「見た目」をメインに審査しており あたりまえでしょう。見た目こそがAppleの唯一にして最高の売りなんだから。
同じ「セキュリティ」でも文脈によって意味するところが違うということが理解できないのかあるいは自分の持っていきたい結論のために脆弱性とマルウェアの違いを無視しているのか
AppleがWebKitエンジンを強要している理由を公開していないので、「セキュリティ」を理由としているのかな、という曖昧な推測しかできないのですが。Smooz の開発元だってマルウェアであることは認めていないので、本件も「脆弱性」や「バグ」の一種だとも言えるし、明確で綺麗な定義など不可能ですね。
それは違うよたとえばFlashやJava Applet、それ以上のことができる高機能ブラウザを作られると、ストア通さない実質アプリ配信が可能になるから
ストア通さないアプリ配信を禁止するために、独自エンジンを規制してる
ストア通さないアプリ配信のハードルを少しでも上げるのが目的
審査時にはオフにしてた可能性もあるし
だから何?審査時にはスパイコードが動作しなくて、Webブラウザが行うオンライン通信で何らかのフラグまたはコードを取得した場合のみ、悪意のあるコードが動作するということ?
そういう方法で審査を回避できるならば、審査が無意味であるという論理の正しさがより強化されるのですが。その手の方法は悪用したい人ならだれでも思いつくやり方なので。
> ただしユーザーはこのアプリを利用する時点で、同社の規定しているプライバシーポリシーには同意しており、個人情報の流出はユーザー自身が認めたものとなっている。
とあるように、公開されてる情報通りの動作だったって話だけど。「個人情報の不正送信」って何?
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
私はプログラマです。1040 formに私の職業としてそう書いています -- Ken Thompson
Apple の審査は役立たず、デフォルトブラウザまでも通過 (スコア:2, 興味深い)
この Smooz というブラウザは、普通の App Store の審査だけでなく、個人情報の不正送信機能が実装されている状態 iOS のデフォルトブラウザの審査にも合格(2020年11月19日)していました。
https://www.jiji.com/jc/article?k=000000042.000021601&g=prt [jiji.com]
App Store は審査があるから安全だとか、Apple が Safari エンジンのブラウザしか審査で認めない(Google Chrome も Apple 版は Safariエンジン)のは安全のためで独占のためではないとか、信じている方も結構いるようですけど、とんでもないざる審査であることが明らかになりました。
私もこの問題が記事になってから当該アプリを軽く分析していましたが、不正送信を秘匿するような高度な実装はなされておらず、20~30分程度あれば話題になっているような個人情報の不正送信がなされていることを簡単に調べられる状況でした。
つまりは、Appleの審査はまともに審査すれば1時間もかからず確実に発見できる個人情報の不正送信すら見逃す審査であって、普通のApp Storeだけでなく「デフォルトブラウザ設定」の審査ですらその程度だということです。
App Store の審査は全くの役立たずであって、Androidのような別ストアやapkの直接ダウンロードを認めないことの正当性は失われたと言っても過言ではありません。
Re: (スコア:0)
分かりにくい部分があったので追記
iOSのブラウザのレンダリングエンジンはAppleが開発する「WebKit」を使用することが義務付けられており、そうでないと審査に通過しません。
https://news.mynavi.jp/article/20190331-iphone_why/ [mynavi.jp]
AppleがWebKit以外のレンダリングエンジンの採用を許さない理由は明確にされていませんが、セキュリティ上の理由と考えることが妥当でしょう。インターネットと直接つながるWEBブラウザは、外部から攻撃/侵入される危険につねに晒されるため、その中枢にあるレンダリングエンジンを外部企業に委ねるとリスク
Re:Apple の審査は役立たず、デフォルトブラウザまでも通過 (スコア:1)
連打するだけでパスワード突破できたり、ヒントでパスワードそのものを見せたりするOS作る会社ですから
Re:Apple の審査は役立たず、デフォルトブラウザまでも通過 (スコア:1)
> 「見た目」をメインに審査しており
あたりまえでしょう。
見た目こそがAppleの唯一にして最高の売りなんだから。
Re: (スコア:0)
同じ「セキュリティ」でも文脈によって意味するところが違うということが理解できないのか
あるいは自分の持っていきたい結論のために脆弱性とマルウェアの違いを無視しているのか
Re: (スコア:0)
AppleがWebKitエンジンを強要している理由を公開していないので、「セキュリティ」を理由としているのかな、という曖昧な推測しかできないのですが。
Smooz の開発元だってマルウェアであることは認めていないので、本件も「脆弱性」や「バグ」の一種だとも言えるし、明確で綺麗な定義など不可能ですね。
Re: (スコア:0)
それは違うよ
たとえばFlashやJava Applet、それ以上のことができる高機能ブラウザを作られると、
ストア通さない実質アプリ配信が可能になるから
ストア通さないアプリ配信を禁止するために、独自エンジンを規制してる
ストア通さないアプリ配信のハードルを少しでも上げるのが目的
Re: (スコア:0)
すり抜けた例を根拠に不要論とか0-1でしか語れないようだけど、精神科に相談をオススメします
どっちにしろ役立たずじゃん (スコア:0)
審査時にはオフにしてた可能性もあるし
だから何?
審査時にはスパイコードが動作しなくて、Webブラウザが行うオンライン通信で何らかのフラグまたはコードを取得した場合のみ、悪意のあるコードが動作するということ?
そういう方法で審査を回避できるならば、審査が無意味であるという論理の正しさがより強化されるのですが。
その手の方法は悪用したい人ならだれでも思いつくやり方なので。
Re: (スコア:0)
> ただしユーザーはこのアプリを利用する時点で、同社の規定しているプライバシーポリシーには同意しており、個人情報の流出はユーザー自身が認めたものとなっている。
とあるように、公開されてる情報通りの動作だったって話だけど。
「個人情報の不正送信」って何?