Oligur

• ニュース

セキュリティへの懸念が高まるこの時代、ハッカーが一挙に米国有数の大企業を標的としたデジタル強盗で何百万もの個人情報を盗んだというニュースが頻繁に報道される中、 Apple以外の人にApple IDとパスワードを渡すべきではありません。ところが、新しいカレンダーアプリSunriseは、初回起動時にまさにその許可を求めます。しかも、Appleの社内ガイドラインにはアプリによるそのような行為を禁じる規定がないどころか、AppleはSunriseにApp Storeの「おすすめ」セクションという待望のスポットを与えているのです。

最初に Neven Mrgan 氏によって発見されたこの問題は、Instapaper や The Magazine で有名なプログラマー兼評論家の Marco Arment 氏がさらに詳しく調査した結果、Sunrise の iCloud カレンダー オプションを使用すると、iOS でも Apple でもなく、アプリ自体が Apple ID のメール アドレスとパスワードを要求することを発見しました。

アーメントのコメント:

Sunrise社は、認証情報を保存しておらず、iCloudから何らかのログイントークンを取得しているだけだと主張しています。（メールアドレスとパスワードを自社のサーバーに送信してそこからログイントークンを取得しているのか、それともデバイス側でトークン交換を行っているのかは不明です。）しかし、それは全く問題ではありません。

アプリやウェブサイトが、高セキュリティのユーザー名とパスワードを直接尋ねることは絶対にあってはならない。特にApple IDには多くの情報が紐付けられているのだから。今年は何年だっけ？

Apple がこれをアプリレビューに通すだけでなく、推奨していることは実に危険です。

彼の言う通りだ。サンライズはユーザーの認証情報を保存していないと主張しているが、エンドユーザーがそれをどうやって知ることができるだろうか？しかし、アーメント氏によると、アプリがApple IDとパスワードを求めることを禁じる規則は存在せず、潜在的な詐欺行為の大きな裏口が開かれているという。サンライズは不正行為を行っていないかもしれないが、次にこのトリックを使うアプリ開発者はそうではないかもしれない。Appleは今すぐこの状況を変える必要がある。

出典: Marco.org