パスワードを忘れた? アカウント作成
13713128 story
プライバシ

Mac App Store、不正な処理を行っていたアプリについて通報後も1か月放置 20

ストーリー by hylom
結局通報だけでは動かないのか 部門より
Trend Microなどが提供するMac向けアプリ、ユーザーに無断でブラウザ履歴などの情報を収集・送信していたという話があったが、こういった不正な処理を行っているアプリの存在をMac App Storeに通報しても、削除までに至る道のりは長いようだ。

headless曰く、

個人情報をユーザーに無断で送信していることが8月初めにAppleへ報告されていたセキュリティアプリ「Adware Doctor:Anti Malware &Ad」が1か月後になってようやくMac App Storeから削除された(Objective-See's Blog9to5MacMac RumorsSoftpedia News)。

Adware DoctorはSafariをはじめとするWebブラウザーの履歴やApp Storeの検索履歴、実行中プロセスの一覧などをZIPファイルに格納して中国のサーバーに送信していたという。ユーザーの同意なく個人情報を収集することは、App Store Reviewガイドライン5.1.1に違反する。なお、通常のアプリはサンドボックス化により他のアプリの情報を取得することはできないが、このアプリはマルウェアの検出に必要だなどとしてユーザーのパーミッションを得ていた。詳細については元NSAハッカーのパトリック・ウォードル氏が発見者のジョン・マックス氏(@privacyis1st)と協力して調査を行った結果を、Objective-See's Blogの記事にまとめている。

このアプリはもともと「Adware Medic」として公開されていた「Malwarebytes for Mac(当時の名称はAdwareMedic)」の偽物で、いったんMac App Storeから削除されていたが、その後「Adware Doctor」という名称で再公開されたものだという。削除前、日本のMac App Storeでは600円で販売されており、Mac App Storeの有料アプリランキングではスウェーデンで2位、カナダで4位、デンマークで6位に入る人気アプリだった。なお、アプリ自体は削除されているが、現在のところ上述の3か国向けページではランキングに入ったままだ。

マックス氏やウォードル氏から報告を受けたAppleは定型の返信をしたのみで特に動きはなかったが、Objective-Seeの記事を各メディアが一斉に報じた直後にアプリを削除したようだ。このほか、マックス氏は同じ開発者による「AdBlock Master:Block Popup Ads」と別の開発者による「Komros Anti Malware & Adware」(いずれも無料)についても同時に問題を指摘しており、これらも既に削除されている。さらに、トレンドマイクロの「Dr. Cleaner」と「Dr. Antivirus」でも同様の問題を指摘し、PoC動画をVimeoで公開している。なお、これら2本のアプリは日本のMac App Storeでは公開されていなかったようだ。

これとはまた別件だが、App Storeで公開されている人気iOSアプリ20本以上がユーザーの位置情報などをデータマネタイゼーション企業に販売していると、GuadianAppが指摘している。

  • 問題あるソフトはちゃんと配信を止めないと、ストア全体の価値が落ちるのにね。
    よく言うじゃん、One bad apple spoils the barrel って。

    ここに返信
    • by Anonymous Coward

      つまりApple一社が業界全体を腐らせてると・・・

    • by Anonymous Coward

      「不正な処理を行っていたアプリについて通報後も1か月放置」って放置していたのだろうか
      明らかに破壊行為をするアプリなら判断し易いかもしれませんが
      データを送信する類だとEULAやアプリの内容によっては「問題」に分類されないかも知れない
      通報の有無、通報の量などだけでは愉快犯や妨害などで公開停止させようとしてるかを判断できないし

      • EULAに書かれてたとしても、脆弱性を利用したりソーシャルエンジニアリング的な手法で動作してるならNGにしないと駄目じゃない?

      • by Anonymous Coward

        ん?
        善意の個人による通報はいたずらと見分けが付かないから対処まで一ヶ月以上かかっても仕方がない
        メディアに騒がれた場合にはイメージダウンが痛いから精査すっ飛ばして即座に対処する
        それが当然である
        って言いたいのですか?

      • by Anonymous Coward

        ハハハ、今まで明確な理由もなく突然人気アプリを消したりしてきたのに何言ってんの?

      • by Anonymous Coward

        すでに巨大なマーケットになってるから、1件くらいの報告でいちいち調査しとれん、ってのはありそう。
        ソーシャル投票的に、複数の報告があって初めて動く、って感じだろうと予測。

    • by Anonymous Coward

      それは、マイクロソフトやグーグルのストアも同じ。
      きちんと精査してほしい、品質上げてほしいものだ。

      • by Anonymous Coward

        App Storeの場合はタイトルにiPhoneとか付けると速攻アウトだけども
        情報収集とかはまずノーチェックだったんだがな。
        ちょっと動かした程度で目に見える問題以外はまず指摘されなかったし。
        というか今回も迂闊な外部送信でばれただけか

    • by Anonymous Coward

      リンゴってそのままでも結構長持ちするイメージなので、ミカンの方が実体験もあってしっくり来ます

      #Appleは永遠に不滅です、とは言ってませんよ

    • by Anonymous Coward

      Twitterみたいに、虚偽通報かどうかろくに調べもせずすぐ止めるのとどっちがいい?

      • by Anonymous Coward

        Twitterの問題は「とりあえず止める」ではなく「とりあえず止めた後の対応がクソ」なこと
        問題点がかなりズレてる

      • by Anonymous Coward

        「ろくに調べもせず止める企業」と「ろくに調べもせず何もしない企業」
        ならどっちもどっちでしょう

        今回は解説blogまで記述するような人が通報してるので
        動くに足る根拠がないような粗末な内容の通報だったとは思えないんですよね

  • by Anonymous Coward on 2018年09月13日 7時59分 (#3479861)

    余計な手間をかけさせないでほしいですね。

    ここに返信
  • by Anonymous Coward on 2018年09月13日 10時28分 (#3479935)

    不正な動作をするアプリがあるっていう報告を社外から受けても、それを調べる時間と手間がかかるわけで

    ここに返信
    • by Anonymous Coward

      うちの会社だとしたら
      ・法務部門でEULAの確認
      ・事実関係を当事者に確認
      で、2週間はかかるかな。
      ・資料まとめて経営会議
      で、1週間。
      理解ができていない経営者からの質問がフィードバックされて
      ・もう一度資料まとめて経営会議
      で、1週間。
      ・削除方法をまとめた資料作成
      ・運用部門にオペレーション依頼
      で、1週間。

      なんだ、放置なんかして無いじゃん!

      • by Anonymous Coward

        Appleの経営者はマイナーアプリ1個の配信停止すら確認して経営会議までやんのか・・・

        実際は、EULAの確認とアプリの動作を確認すればいいだけで早けりゃ1週間以内に白黒付くけど通報が多くて取り掛かるまでに時間が掛かってるだけとかだろうな
        1月で対応できてるならマシじゃないかね
        某G社なんて適当な理由で逃げるか無視だよ

        • by Anonymous Coward

          >某G社なんて適当な理由で逃げるか無視だよ

          具体的に、どのあたりが?
          そしてそれがどうAppleのストア管理のまずさと繋がるの?

          #信者はすぐ自己弁護と責任転嫁に走りたがるけど、
          #結果的に自分が損してるってことにもっと敏感になった方が良いと思う。

    • by Anonymous Coward

      携帯アプリストアって、昔でいうと Vector.co.jp がやってたことだよね。
      膨大な数をいちいちチェックするとなると、大変だよなあ。

    • by Anonymous Coward

      本来アプリ配布前にそれをやるべきじゃねーの

typodupeerror

ハッカーとクラッカーの違い。大してないと思います -- あるアレゲ

読み込み中...