BigBossリポジトリのメンテナーOptimo氏へのインタビューに続き、本日はModMyiの共同創設者Kyle Matthews氏にインタビューを行い、新しい脱獄ツールがリポジトリに提出される際に実施されるセキュリティプロセスと安全対策についてお話を伺いました。完全なセキュリティを保証することはできませんが、Matthews氏はModMyiリポジトリが長年にわたりユーザー保護のために素晴らしい成果を上げてきたと説明しています。
しかし、彼が指摘するように、100%のセキュリティは不可能であり、最終的には脱獄ユーザー自身が最終的な責任を負うことになります。Cydiaで最も人気のあるリポジトリの一つについて、興味深い考察をお読みください。
こちらもご覧ください: BigBossリポジトリのメンテナーがセキュリティとユーザーの責任について語る
ModMyiの共同創設者カイル・マシューズが私たちの質問に答えます
ModMyi に調整を送信してリポジトリに追加してから、この調整がリポジトリで公開され、ダウンロードできる状態になるまでのプロセスを説明していただけますか?
残りのパッケージについては、手動で検査を行います。各パッケージをテストデバイスで実行し、ディレクトリ構造の誤り、実装の不備、セキュリティ上の欠陥など、エラーがないか検査します。
完成したパッケージは .deb ファイルに変換され、メイン リポジトリにアップロードされます。
そのプロセスではどのような安全対策が講じられていますか?セキュリティスキャンについて明確な説明をしていただけると助かります。
リポジトリマネージャーは頻繁に話し合い、信頼できるグループディスカッションの場を設けています。信頼できるリポジトリにアップロードされたすべてのパッケージは、疑わしいコード(または単に記述が不十分なコード)がないか、手動で検査されます。何か問題があると思われる場合は、他の信頼できる開発者やリポジトリメンテナーがパッケージを検査します。また、何かおかしい点がある場合は、パッケージ開発者に連絡を取り、フィードバックをもらいます。その上で、パッケージを受け入れるかどうかの決定が下されます。
一部の開発者はデフォルトでホワイトリストに登録され、承認プロセスが迅速化されるのでしょうか?それとも、レビュープロセスに関してはすべての開発者が同じレベルで行われるのでしょうか?
特定のパッケージや開発者の中には、長年にわたる信頼性とリポジトリ所有者との良好な関係を築き、コミュニティにとって重要とみなされる方がいらっしゃいます。こうした開発者やパッケージには、より迅速な対応が認められる場合があります。また、何らかの理由で緊急のご依頼があった場合は、Twitter、メール、その他の手段で迅速に対応いたします。
悪意のあるパッケージはどのくらいの頻度で検出されますか?何らかの傾向があるのでしょうか?それとも、何年も比較的安定しているのでしょうか?
悪意のあるパッケージが安全対策をすり抜けることは稀です。しかしながら、そのようなケースは確かに存在します。脱獄コミュニティは、こうしたパッケージを迅速に発見し、対処可能な関係者に警告する上で大きな役割を果たしています。RedditやTwitter、フォーラムなどで、リポジトリの所有者に連絡する代わりに、なぜこのようなことが起こるのか、あるいはなぜこのようなことが起こるのかといった疑問を投げかける人々がいるという 、苛立たしい傾向に私 たちは気づいています。100%の精度は不可能であることは承知していますが、この7年間ほどの調査で99.9%の精度を維持してきたと断言できます。頻度の増加や変化は見られず、奇妙なパッケージを時折発見することはありますが、それらは決して公開されることはありません。
7月に、トロイの木馬を含んだLock Saver FreeというTweakがリポジトリに追加されました。これはどのようにして起こったのですか?
審査プロセスは見落とされることなく通過しました。アプリ内のコード行が別ファイルをダウンロードしていたのですが、審査で見落とされていました。リポジトリ所有者のコミュニティは、このパッケージを検査しました(すぐに削除された後です。私のコメントは、同じ日のRedditスレッドでご覧いただけます)。この仕組みに着目し、今後この手法を徹底できるようセキュリティを強化しました。
それを理解して行動を起こすまでにどれくらいの時間がかかりましたか?
12時間弱です。発見は私たちのタイムゾーンでは夜になる直前で、目が覚めるとメール通知が届いていました(人気サイトやネットワークで誰かが特定の話題に触れた場合に通知が届くように設定しています)。誰かがニュース記事を転送してくるまで、直接連絡を取ることはありませんでした。あなたの会社のジェフ・ベンジャミン氏がこの件について記事を書いてくれましたが、私たちには連絡してきませんでした(彼は私の直接の連絡先を知っています)。
再びこのようなことが起きないようにするために、どのような予防措置を講じていますか?
前述の通り、使用されたメカニズムは検査され、他のリポジトリ所有者とメンテナーに共有されました。私たちはこれを記録し、今後この種の問題についてより厳重に調査することになりました。
悪意のある改ざんが検出された場合はどのような手順が実行されますか?
パッケージは直ちに削除されます。その後、リポジトリのメンテナーとコミュニティの他の様々なメンバーによって検査され、マルウェアのリバースエンジニアリングと解析が行われます。提出者には通知が送られ、通常はパッケージを提出したサイトからアクセスが禁止されます。また、すべてのリポジトリのメンテナーにも結果が通知されます。ユーザーのデバイスやデータの完全性を確認するためにフォローアップが必要な場合は、可能な限りユーザーに通知します(これは極めて稀なケースです)。
ModMyi に送信された改造プログラムの中で、最もひどいマルウェアにはどのようなものがありますか?
コンテンツを削除しようとしたり、独自の広告を読み込もうとするアイテム(以前は通過していたものの、現在も送信されているもの)が見られます。保護されたデータの送信やアクセスを試みるようなパッケージは極めて稀です。
先月、BigBossが一時的にダウンしました。翌日にはあなたのリポジトリもダウンしました。過去にはこんなことは一度もありませんでした。これは単なるひどい偶然だったのでしょうか、それとも運が悪かっただけではない何かがあるのでしょうか?
私たちもDDOS攻撃の被害を受けました。DDOS攻撃は頻繁に発生しており、私たちのサイトよりもはるかに大規模なサイトにも被害を与えていますが、それ以降、この種の攻撃への対策を強化しました。
iOSの人気が高まり、中国などの国でも普及が進んでいる中で、iOSはハッカーにとってより標的になりやすいプラットフォームになっているとお考えですか?今後、iOS向けに開発される脱獄ツールのセキュリティ全般について、どのようにお考えですか?
優れたシステムを導入しており、稀な事態が発生するたびに対策を強化し続けています。どのテクノロジーニュースブログでも証明されているように、100%のセキュリティは不可能ですが、私たちは質の高い対策を講じています。ルート権限でアクセスできるシステム(ジェイルブレイク中のiOSのように)は本質的に脆弱ですが、個々の注意と熟練したコミュニティの存在によってセキュリティが強化されます。
他に何か言いたいことや明確にしたいことはありますか?
@mmirepo と個人メールを常にチェックしていることを必ずご承知おきください。何か異常な点が見つかった場合は、10秒以内にツイートして私たちに知らせてください。何よりもまず、リポジトリのメンテナーに通知し、パッケージを検査できるようにする必要があります。AppleのApp Storeでさえ、すり抜けてしまうもの(ゲームに隠されたエミュレータ、ゲームを装ったテザリングパッケージなど)がありますが、それらはサンドボックス化されています。私たちは、知識豊富なコミュニティ(開発者、リポジトリのメンテナー、そしてユーザー)に支えられており、彼らはこれまで、あらゆる侵害を迅速に察知し、リポジトリに警告してきました。
