headless 曰く、

Google Playでインストールするアプリを他のAndroidデバイスにも自動でインストールするオプションがロールアウト開始しているそうだ (Android Police の記事、 9to5Google の記事)。

手元のデバイスではオプションが追加されたものがまだなく、実際に日本語環境でどのような表示になるのかは不明だが、「デバイスへのアプリの同期」といった趣旨の名称 (Sync apps to devices) が付けられている。オプションは「Playストア」アプリの「アプリとデバイスの管理」に追加され、選択すると同じGoogleアカウントでサインインしたデバイスの一覧が表示されるので、同期するデバイスをチェックボックスで選択すればいい。

同期といっても指定したデバイスに同じアプリがインストールされるだけで、データが同期されるわけではないようだ。また、対象は新たにインストールしたアプリだけで、現在のデバイスにインストール済みのアプリを別のデバイスにまとめてインストールする、といったことはできないという。

個人的には初めてインストールするアプリが他のデバイスにも自動でインストールされることにメリットを感じない、というよりむしろインストールしないでほしいと思うが、スラドの皆さんはいかがだろうか。

170 以上の市場で Android アプリとゲームのマネタイズを可能にする Google Play Commerce では、2022 年に 20 億ドル以上の不正な取引を防いだそうだ (Android Developers Blog の記事、 Neowin の記事)。

他人のアプリを悪用して不正に利益を得ようとする悪人は、不正な支払い手段でアプリ内購入を行う方法や、既に使用または転売済みのアプリ内アイテムの返金を受ける方法などを常に探している。このような者たちが手を組み、さまざまな悪用方法を組み合わせれば大規模な不正利用につながる可能性もある。それを防ぐには自動化されたソリューションや内部的な監視ツール群と人間の専門知識を組み合わせる必要があるとのこと。

不正を防ぐ最も効果的なソリューションは取消済みの購入を検出して回収可能なコンテンツを取得する Voided Purchases APIの利用と、難読化されたアカウントIDによる不正な取引の検出だという。アプリをマネタイズする開発者トップ200の70%以上がこれらのソリューションを利用しているそうだ。また、Play Integrity APIを重要なタイミングで呼び出すことで変更されたアプリバイナリからのアクションを検出し、不正なアクセスを 50% 以上減らすことができるとのことだ。

Samsung の Galaxy シリーズスマートフォンに搭載された「リマスター」機能を赤ちゃんの写真に適用すると歯が生えることが判明し、ユーザーを恐怖に陥れている (The Verge の記事、 Android Police の記事)。

リマスター機能はフォトギャラリーに搭載されており、光の反射や影などを取り除くほか、ノイズ除去や色補正などにより画質を向上させるなどと説明されている。赤ちゃんに歯が生えるのは、歯のホワイトニング機能が原因とみられる。つまり、歯のない赤ちゃんの口の中に見える舌先をぼやけた歯と誤認識し、白くするだけでなく歯の形まで描いてしまうようだ。

headless 曰く、

Google Play で中国のソーシャルショッピングアプリ「拼多多 (Pinduoduo)」が公開停止となっている (Bloomberg の記事、 HackRead の記事、 The Register の記事)。

Google によれば、同アプリの Google Play で提供されていないバージョンでマルウェアが見つかり、調査を進める間、念のために Google Play での公開も停止したのだという。Google Play Protect ではマルウェアを含むバージョンのインストールをブロックしており、インストール済みの場合は削除を促すとのこと。Pingduoduo ではアプリ自体に悪意ある機能が組み込まれているという疑いを否定してGoogle の対応を批判し、同時にブロックされたアプリが複数あるのにもかかわらず Pinduoduo だけを記事で取り上げた Bloomberg も批判しているとのことだ。

Galaxy シリーズの「スペースズーム」機能による月の写真が偽物だと再び話題になったことを受け、Samsung が解説記事を公開している (Samsung Mobile Press の記事、 The Verge の記事、 Ars Technica の記事)。

Samsung に限らず、スマートフォンで撮影した月の写真が合成ではないかとの疑惑はこれまでにも話題となっている。この記事自体も新しいものではなく、Samsung が昨年 10 月に韓国版サイトで公開した記事を英訳したもののようだ。記事によれば、Galaxy シリーズがくっきりした月の写真を撮影できるのは超解像技術とシーン最適化技術の組み合わせによるものだという。超解像は 25 倍以上のズーム倍率で撮影する際、10 点以上の写真を 1 枚の写真に合成することでノイズを除きつつ細部を強調する。さらにシーン最適化を有効にすると、AI 深層学習により認識した被写体に合わせた細部の強調や明るさの調整を行う。これにより、故意にぼやけた画像になるよう編集した月の写真を撮影しても、月であると認識しさえすれば明るくはっきりした月の写真が得られるようだ。シーン最適化を使いたくなければ、カメラの設定で無効化することも可能とのことだ。

Google は Pixel の「マークアップ」ツールで発見された脆弱性 (CVE-2023-21036) を 3 月のアップデートで修正したが、これを利用するエクスプロイト「aCropalypse」が公開されている (エクスプロイト作者のブログ記事、 9to5Google の記事、 Android Police の記事、 Simon Aarons 氏のツイート)。

マークアップはスクリーンショット撮影時に表示され、画像のクロップや書き込み・塗りつぶし等を可能にする。CVE-2023-21036 では編集の結果を保存する際にファイルサイズを切り詰めずに新しい画像データを上書きするため、元のデータが一部残されてしまう。具体的な処理を知ることは難しいが、エクスプロイト作者の David Buchanan 氏は Android 10 以降で 2021 年に修正された ParcelFileDescriptor.parseMode のバグとみているようだ。

脆弱性が修正されても既に保存したファイルが更新されるわけではない。このような画像をソーシャルメディアアプリやメッセージングアプリなどで送信する場合、読み取れない元の画像データはメタデータとともに削除されるが、Discord では 1 月までこのような処理が行われていなかったという。そのため、それ以前にアップロードしたスクリーンショットでは、隠したつもりの部分が復元されてしまう可能性がある。

エクスプロイトの作者が過去に使用していた Pixel 3XL のスクリーンショットを Discord からダウンロードして復元処理を行ってみたところ、eBay の確認メールのスクリーンショットから自宅住所全体が復元されたそうだ。なお、復元処理はすべてローカルで行われるとのことだ。

headless 曰く、

インド政府が主要なスマートフォンOSについて、アップデートの一般リリース前に審査の実施を義務付けることを検討していると報じられている (Neowin の記事、 Reuters の記事)。

Reutersによればインド政府ではスパイや個人情報の不正利用を懸念しており、プリインストールアプリをアンインストール可能にすることを義務付ける計画を進めているという。インドでは中国製アプリを中心に多数のアプリを禁じているが、プリインストールアプリはアンインストール不可のものも多い。新ルールではスマートフォンメーカーにプリインストールアプリのアンインストールオプション提供を義務付け、新モデルはインド規格局が検査を行うことになる。

OSアップデートの審査はプリインストールアプリのアンインストールオプションの義務付け計画とともに検討されているものだが、リリースまでの期間が長くなることを懸念する声も出ているとのこと。実際に現実的な時間で審査できるのだろうか。

Google は 8 日、次期 Android 14 (コードネーム: Upside Down Cake)の開発者プレビュー第 2 弾となる Android 14 Developer Preview 2 (DP2) をリリースした (Android Developers Blog の記事)。

DP2 ではバックグラウンドで開始されるアクティビティへの制限が強化され、バックグラウンドで実行されるアプリのリソース利用を最適化するためのメモリ管理機能の改善が行われている。また、Credential Manager のアカウント選択画面の UI スタイリングが改善されたという。このほか、Android 14 ではパーミッション READ_MEDIA_VISUAL_USER_SELECTED を使用することでユーザーが選択した画像または動画にのみアクセスを許可できるようになっており、消去可能な通知の種類の増加や、アプリストアでのエクスペリエンスを改善する新しい PackageInstaller API の追加、温度単位や数字の表記などを地域に合わせて設定する「地域の設定」オプションの追加などが行われている。

DP2 には開発者が新機能や API を試用したり、アプリの互換性やオプトインになった挙動の変更をテストしたりできるよう、Pixel 4a (5G) / 5 / 5a 5G / 6 / 6 Pro / 6a / 7 / 7 Pro 用のシステムイメージが提供されているほか、Android Emulator で利用可能な 64 ビットシステムイメージも提供されている。安定版の Android Studio でも SDK Manager で最新の Android UpsideDownCake Preview と Android SDK Build-Tools 34-rc2 を入手すれば DP2 を試すことができるが、Google では最新のプレビュー版 Android Studio Giraffe (またはより新しい Giraffe+) の利用を推奨している。

YouTube が「広告掲載に適したコンテンツのガイドライン」の冒涜的表現に関する規定を更新した (YouTube ヘルプの記事、 9to5Google の記事、 Android Police の記事、 The Verge の記事)。

YouTube は冒涜的表現に関する規定を 11 月にも更新している。11 月の更新では冒涜的表現の強さのレベルによって区別せず、すべて同様に扱うこと、「hell」「damn」のような言葉を冒涜的表現として扱わないこと、冒頭 8 秒以内に冒涜的表現が含まれなければ収益化が可能になること、となっていた。しかし、収益化を容易にするという意図に反し、かえって厳しくなるとの懸念がクリエイターから寄せられたことから、再度更新することにしたという。

3 月 7 日から有効になった新規定では再び冒涜的表現を強さのレベル別に区分しており、中レベルの冒涜的表現は出現位置・回数にかかわらず緑の収益化アイコンが取得可能になる。また、F-ワードなどの強い冒涜的表現は最初の 7 秒または動画の大半を通じて繰り返し使われていても限定的な広告が可能となり、最初の 7 秒以降は強さのレベルにかかわらず、動画の大半を通じて冒涜的表現を繰り返さない限り緑のアイコンが取得可能になる。

音楽に含まれる冒涜的表現の扱いも明確化され、BGM や伴奏、イントロ/アウトロ音楽として使われる音楽に中～強レベルの冒涜的表現が含まれていても制限なく広告収入を得ることが可能となる。タイトルやアイコンに中～強レベルの冒涜的表現が使われている場合は引き続き収益化を利用することはできない。

今回の更新に伴い、11 月の更新で黄色い収益化アイコンとなっていた動画は 10 日までに再レビューが行われる。その結果緑色のアイコンになった場合、YouTube Studio の収益化ステータスにも反映するとのことだ。

Apple がクラシック音楽専用アプリ「Apple Music Classic」を発表し、App Store で予約を受け付けている (App Store Preview、 The Verge の記事、 Mac Rumors の記事、 Apple Music のトレーラー)。

Apple Music Classic はクラシック音楽に特化して開発されたアプリで、利用には Apple Music サブスクリプションが必要だ。Apple が 2021 年に買収したクラシック音楽ストリーミングサービス Primephonic がベースになっており、500 万トラック以上のクラシックカタログから作曲家名や演奏家名、作品名、カタログ番号などを指定して瞬時に検索し、高音質で無制限に聴くことができる。完全で正確なメタデータにより演奏の情報を確認できるほか、作曲家のバイオグラフィーや重要な作品の解説など数千件が用意されており、演奏を聴きながら作曲家や作品について学ぶことも可能だ。

Apple Music Classical は日本・中国・韓国・ロシア・台湾・トルコ・アフガニスタン・パキスタンを除く全世界で利用可能とのこと。対応言語は英語・オランダ語・フランス語・ドイツ語・イタリア語・ポルトガル語・スペイン語で、これらの言語圏以外の App Store でも上述の 8 か国・地域を除き英語版で予約を受け付けている。

Google は 8 日、Windows 版 Chrome が搭載する望ましくないソフトウェア (UwS) の削除機能「Chrome Cleanup Tool」の廃止を明らかにした (Google Online Security Blog の記事、 The Verge の記事、 9to5Google の記事、 Android Police の記事)。

スラドでは Chrome Cleanup Tool を 2017 年に新機能として紹介しているが、Google によると予期せず変更された設定の復元や UwS を削除できるようにするため、2015 年に導入されたものだという。しかし、ここ数年は UwS に関する Chrome ユーザーからの苦情の減少や、UwS を事前に防ぐ Google セーフブラウジングのような積極的なセキュリティへの移行、拡張機能へ移行する UwS を防ぐための Chrome ウェブストアでのレビュー強化、マルウェアのトレンド変化などもあり、Chrome Cleanup Tool の廃止を決めたという。

Chrome 111 では設定の「リセットとクリーンアップ > パソコンのクリーンアップ (Chrome Cleanup Tool)」が削除されており、「プライバシーとセキュリティ > 安全確認」実行時にも「パソコンのクリーンアップ」が呼び出されなくなっている。定期的なスキャンを実行するコンポーネントも削除されるとのこと。Chrome Cleanup Tool がなくてもユーザーはセーフブラウジングで保護され、セーフブラウジングのオプション (設定 > プライバシーとセキュリティ > セキュリティ) で「保護強化機能」を有効にすることも可能とのことだ。

中国は現在、Android OSのスマートフォンユーザー数が最も多い国となっている。複数の大学のコンピューター科学者が、静的および動的なコード解析技術を組み合わせて実施したプリインストールされたシステムアプリによって送信されたデータを調査したところ、XiaomiやOnePlus、Oppo Realmeなど中国で人気の高いスマホのメーカーすべてで、ユーザーデータが大量に収集されていることが判明したという（Android OS Privacy Under the Loupe、GIZMODO）。

これらのパッケージが多くが、ユーザーのデバイス (永続的な識別子)、位置情報 (GPS座標、ネットワーク関連の識別子)、ユーザープロファイル (電話番号、アプリの使用状況)、および通話履歴などのプライバシーに関わる情報を、同意や通知なしに多数の第三者ドメインに送信していたとされる。

headless 曰く、

Android 15 のコードネームは「Vanilla Ice Cream」となるようだ (Android Police の記事、 Gerrit Code Review)。

Android 1.5 Cupcake 以来 Android のメジャーバージョンに付けられていたアルファベット順のデザートの名前はわかりにくさを理由に Android 10「Q」で廃止されたが、Google 内部ではコードネームとして引き続きデザート名を使用していた。さらに Android 13「T」と Android 14「U」のプレビュービルドではそれぞれのコードネーム「Tiramisu」と「UpsideDownCake」がバージョン名として表示されるなど、再び前面に出てくるようになっている。

「Vanilla ～」は Android「V」の名称としては無難な選択ではあるのだが、「Vanilla」は「プレーンな」「素のままの」といった意味で使われることもある。「Vanilla Android」といえばベンダーによるカスタマイズの入っていない「素のAndroid」を指すため、既にジョークのネタになっているようだ。また、Android Police では「Froyo (Android 2.2)」と「Ice Cream Sandwich (Android 4.0)」に続いてまたフローズンデザート系になったとも指摘する。なお、Android 12「S」のコードネームもフローズンデザート系の「Snow Cone」だった。

Android Police では名前が「V」から始まるデザートとして「Vienna Fingers」と「Volcano Cake」を挙げている。スラドの皆さんが好きな「V」から始まるデザートは何かあるだろうか。

headless 曰く、

Google Pixel Watch でアラームが指定した時刻に鳴らないという問題が数か月前から報告されているようだ (Android Police の記事、 9to5Google の記事)。

具体的にはセットした時間から前後数分ずれた時刻に鳴るというもので、遅く鳴るという報告が目立つ。ある Reddit ユーザーは授乳のため 19 時にアラームをセットしていたが、実際にアラームが鳴ったのは 19 時 1 分だったという。そのため、アラーム項目を削除して新たに作成したところ、今度は 19 時 2 分に鳴ったそうだ。別の Reddit ユーザーは早いときでは 4 分前、遅いときでは 6 分後に鳴ったと報告している。問題が数回だけ発生し、あとは発生しないとの報告もみられる。9to5Google では就寝モードなどの影響を指摘しているが、正確な原因は不明だ。ずれる時間が数分と短いため、気付かずに使い続けている人もいるかもしれない。スラドにPixel Watchユーザーや、実際に問題を目にした方はおられるだろうか。

昨年 8 月に発生した LastPass の開発環境への不正アクセスは 11 月の不正アクセスにつながり、攻撃者は顧客のパスワード保管庫のバックアップを保存したクラウドストレージにアクセスしているが、この 2 回目の攻撃は DevOps エンジニアがサードパーティソフトウェアを更新していれば防げた可能性があるようだ (PCMag の記事、 Android Police の記事)。

LastPass は 2 月 27 日に不正アクセスに関する更新情報を公開し、攻撃者が 2 回目の不正アクセスに必要な復号鍵を DevOps エンジニアの自宅 PC への不正アクセスを通じて入手したことを明らかにした。それによると、攻撃者は DevOps エンジニアの自宅 PC でサードパーティのメディアソフトウェアパッケージの脆弱性を利用してキーロガーをインストールし、復号鍵を保存した保管庫のマスターパスワードを入手したのだという。

LastPass はソフトウェアの名称を明らかにしなかったが、Ars Technica が Plex Media Server だという情報を入手。Plex も昨年 8 月にセキュリティ上の問題が確認されてユーザー全員にパスワード変更を要請しているが、それとの関係は不明だった。その後、問題の脆弱性は 2020 年 5 月に修正済みの CVE-2020-5741 であることが判明する。Plex は PCMag に対し、脆弱性はおよそ 75 バージョンも前に修正されていたが、LastPass の従業員がソフトウェアを更新することはなかったなどと語ったとのことだ。