モバイル開発の作者は、Apple の iPhone ソフトウェアに、ユーザーが購入してインストールしたアプリをブラックリストに登録し、リモートで無効化できるメカニズムを発見しました。
ジョナサン・ズジアークシのiPhoneオープンアプリケーション開発 を示しますiPhone 2.0 の CoreLocation フレームワーク (および更新された iPod touch ファームウェア) は、安全なウェブサイト少なくとも「未承認」アプリのリストのプレースホルダー コードが含まれているようです。
オペレーティング システムがこのサイトを頻繁に参照するかまったく参照しないのかは不明ですが、その存在は Zdziarski 氏に、アプリの実行能力について Apple に最終決定権を与えるキル スイッチの可能性を示唆し、事実上すべてのハンドヘルド デバイスを無効にする可能性があることを示唆しています。インターネット接続がある限り監視されます。
「これは、iPhone がどのアプリケーションをオフにするべきかを知るために時々家に電話していることを示唆しています」と彼は言います。 「現時点では、ブラックリストに登録されているアプリはありませんが、どう見ても、これは、Apple がシャットダウンを選択した場合に、ユーザーが既にダウンロードして料金を支払ったアプリケーションを無効にするために追加されたものです。」
この発見は、以前に認められていた Apple の能力を拡張するものです。開発者の証明書を取り消すこの権限は、Nokia が使用している Symbian OS 9.1 以降や RIM の BlackBerry OS など、強制的な証明書署名機能を持つ他のプラットフォームでも保持されています。
昨年 10 月に Apple の最高経営責任者 Steve Jobs が概説したように、モバイル Wi-Fi プラットフォームのセキュリティ アーキテクチャの一環として、iPhone SDK では、App Store を通じて入手できる各アプリが Apple によって発行されたセキュリティ証明書によって署名されることを要求しています。 iPhone は、セキュリティ システムがジェイルブレイクによって破られない限り、署名されていないアプリの実行を拒否します。
すべての iPhone アプリに署名を要求する最も明白な目的は、Apple が開発者と Apps Store を通じて配布されるアプリを選択的に承認できるようにすることです。ただし、iPhone の証明書署名機関として、Apple は常に、どの段階でも遡って証明書を取り消し、プログラムを使用不能にするオプションを持っていました。これを実現するには、iPhone が Apple のサーバーに問い合わせて、失効した証明書の最新のリストを取得するだけで済みます。開発者の証明書が取り消されると、署名されていないアプリの場合と同様に、署名されたアプリは実行されなくなります。
サードパーティ製アプリに対するこの種の制御は、以前にも他のプラットフォームで物議を醸したことがあります。これは、認証局を管理する企業が公平かつユーザーの利益のために行動することへの全面的かつ完全な信頼を要求するためです。 Apple、RIM、その他の企業は、理論上、自社のコントロールを悪用して、競合他社のアプリの権利を取り消したり、任意の理由で開発者を罰したりする可能性がある。PC を同様に安全なプラットフォームに変換することを望んでいた Microsoft の Palladium プロジェクトは、業界が安全性を欠いているために失敗した。 Microsoft が PC ハードウェア市場全体に対して獲得するであろう巨大な権力を行使することを、全員が信頼していませんでした。
Apple は、自社の証明書署名プログラムを、ウイルス、スパイウェア、マルウェア、およびわいせつと判断される資料から iPhone と iPod を保護する手段であると説明しています。しかし、Apps Storeがほぼ1カ月前にオープンして以来、同社はまた、Nullriversのアプリなど、いくつかのアプリをストアから削除した。ネットシェア理由を明示せず、またはそれらのアプリが Apple のポリシーに違反していることが判明したため。 NetShareの場合、iPhoneのデータプランでインターネット共有テザリングをサポートしていないAT&Tをなだめるため、Appleがストアからアプリを削除したようだ。
Apple はストアからアプリを削除しましたが、既知の開発者の証明書はまだ取り消していません。これは、すべてのアプリを強制終了し、購入およびインストール後にモバイルデバイス上で実行できなくなる可能性がある措置です。証明書の失効は、実際に公開されている署名済みアプリが事後的に悪意があることが判明した場合など、緊急の場合にのみ Apple によって使用される可能性があります。
しかし、Zdziarski氏の調査結果は、Appleが特定のアプリを無効にするキルスイッチとして、よりターゲットを絞ったブラックリストサイトを使用する可能性があることを示唆している。このメカニズムは、悪意のあるマルウェアを阻止するためにも同様に使用でき、制御不能に拡散する前にウイルス アプリを無効にすることができます。また、Apple がこれを使用して、IT 管理者が従業員の携帯電話からアプリをリモートで無効にする機能を提供する可能性もあります。 Apple はすでに、iTunes App Store のローカル バージョンを通じてカスタムの企業アプリ展開を提供する計画の概要を示しています。モバイル デバイスからアプリをリモートでインストールしたり削除したりできることは、高セキュリティ環境の IT 管理者にとって非常に望ましい機能です。
Appleはこれまでのところ、取り消し権限を一切行使していない。同社はストアでのアプリの販売を削除したにもかかわらず、ユーザーがインストールしたアプリをまだ無効にしていない。ズジアルスキ氏が発見した不正アプリリストのテスト項目は「悪意のある」ものであると説明されており、リストの背後にあるクパチーノに本拠を置くこの企業は、少なくとも現時点では、ユーザーの携帯電話上のソフトウェアを取り締まることよりも、顧客に対する脅威を根絶することに関心があることを示唆している。 。
Isamu 
Isamu 
Isamu