AppleInsiderスタッフ
· 1分で読めます
ジョージア工科大学の研究者グループは、悪質なアプリがAppleの審査プロセスを通過できることを発見し、同社がApp Storeにアプリを公開する前にわずか数秒分のテストしか実行していない可能性があることを明らかにした。
「Jekyll」と呼ばれるこの悪意あるソフトウェアは、App Storeを通じてどのようなアプリの配布が許可されるかを規定する同社の管理手段をテストするために、3月にAppleのApp Storeにアップロードされたと、MITのテクノロジーレビューが報じている。
このソフトウェアの開発を担当した研究チームによると、Appleは、後に悪意のあるアプリに組み入れられることになる隠れたコードの一部を識別できなかったという。被害者のデバイスにインストールされると、ニュース配信アプリを装ったJekyllは、ツイートの投稿、メールやテキストメッセージの送信、電話のアドレス帳へのアクセス、写真撮影、Safariを悪意のあるウェブサイトに誘導するなど、様々な不正行為を実行できた。
「このアプリはインストール時に端末に電話をかけ、コマンドを要求します」と、ストーニーブルック大学の研究者ロン・ルー氏は述べた。「これにより、インストール時には存在しなかったアプリのロジックに新たな動作を組み込むことが可能になりました。」
Jekyllには、研究者がAppleのテストプロセスを監視できるコードも組み込まれていました。報道によると、アプリはApp Storeで公開される前に「数秒」しか実行されなかったとのことです。ルー氏によると、ジョージア工科大学のチームはJekyllを数分間だけ展開し、アプリをダウンロードしてテストのために自分たちに向けていました。安全対策として最終的に削除されるまで、ユーザーはアプリをインストールしていませんでした。
「私たちが伝えたいメッセージは、現在、Apple の審査プロセスでは主にアプリの静的分析が行われており、動的に生成されたロジックは簡単には確認できないため、これでは不十分だということです」と Lu 氏は語った。
研究チームはその結果を論文にまとめ、ワシントンDCで開催されるユーゼニックス会議で金曜日に発表する予定だ。
Appleの広報担当者トム・ノイマイヤー氏は、同社はこの研究結果を考慮し、論文で示された問題に対処するためにiOSをアップデートしたと述べた。これらの修正の詳細は明らかにされておらず、App Storeの審査プロセスについてもコメントを控えた。
![プライムデー2018のお買い得品まとめ:Appleハードウェアの最低価格を含む、まだ残っている最高のお買い得品はこちら [u]](https://image.tslro.com/imggkole/2a/9d/26777-38665-dji-mavic-pro-combo-xl.webp)
