Uberのセキュリティコミュニケーション責任者は本日、iOSアプリから、ユーザーの画面を無意識のうちに録画する可能性のあるアクセスを削除すると発表しました。セキュリティ研究者は、AppleがUberにこれらのプライベートAPIへのアクセスを許可していたことに気づいていました。セキュリティに重点を置く企業としては前例のない動きです。
iOSでは、アプリケーション開発者はエンタイトルメントを使用して様々なAPIにアクセスします。例えば、iCloudやApple Pay APIを使用するには、アプリケーション内で特定のエンタイトルメントが必要です。
エンタイトルメントを使用する背後にある考え方は、iOSアプリケーションが本当に必要なものにのみアクセスできるようにすることです。Appleは、「必要なリソースへのアクセスのみを慎重に有効にすることで、悪意のあるコードがアプリを悪用した場合でも、被害の可能性を最小限に抑えることができます。」と述べています。
UberのiOSアプリが一部の人々の注目を集めたのはこの点です。API、そしてその結果として付与される権限は、パブリックとプライベートに分けられています。プライベートAPIは、App Storeに提出されるアプリでは使用できません。UberのAPIは、技術的にはデバイスの画面を録画できる可能性がありましたが、プライベート権限の背後に隠されていました。
Uberのセキュリティおよびプライバシーコミュニケーション担当のメラニー・エンサイン氏は、Twitterでウィル・ストラファック氏に対し、この権限は削除されると伝えました。エンサイン氏によると、このAPIはwatchOSアプリが地図のレンダリングを処理できなかった時代に使用されていたとのことです。技術的な観点から見ると、UberはこれらのAPIによってiOSアプリの画面に表示された内容をキャプチャし、watchOSアプリにプッシュすることが可能だった可能性があります。
Apple Watchアプリが対応できるようになる前は、iPhoneでUberマップをレンダリングし、Apple Watchに送信するためにAPIが使用されていました。現在は使用されていないため、削除される予定です。ありがとうございます!
— メラニー・エンサイン (@iMeluny) 2017年10月5日
ストラファッハ氏はエンサイン氏に、そもそもUberがこの権限へのアクセスをどのように許可されたのかを尋ねた。これはプライベート権限であるため、どのアプリケーションにもアクセス権が付与されるべきではない。エンサイン氏自身の調査したデータセットでは、このプライベートアクセス権を保有しているのはUberとApple自身のアプリだけだった。ストラファッハ氏は、AppleがUberにこの権限を付与したに違いないと述べた。
このレベルのアクセス権限が付与されたことは、AppleとUberのこれまでの経緯を考えると特に興味深い。今年初め、ティム・クック氏がユーザー追跡疑惑を理由にUberをApp Storeから削除すると脅迫したと報じられた。
Apple のニュースをもっと知りたい場合は、YouTube の 9to5Mac をご覧ください。
moresit.com を Google ニュース フィードに追加します。
FTC: 収益を生み出す自動アフィリエイトリンクを使用しています。詳細はこちら。
![レビュー:ContourのShuttleXpressは、オーディオ&ビデオ編集者にとって必須の60ドルのガジェットです [動画]c](https://image.moresit.com/to/da/65/9to5mac-default.webp)
