iDBでは、Sunriseカレンダーアプリの大ファンです。昨年10月には「今週のアプリ」に選出し、ベストiPhoneアプリリストにも常にランクインしています。Apple純正カレンダーに代わる、見た目も機能も優れたアプリです。
しかし、Sunriseは最近、新機能の一つであるiCloudサポートに関して、多くの批判を浴びています。iCloudアカウントを追加するには、アプリでApple IDとパスワードの入力が求められるのです。これを大きなセキュリティリスクと捉える人もいます…。
これについては多くの人が意見を述べていますが、Marco Arment 氏の意見が最も総合的に優れていると思います。
Sunriseを初めて起動すると、アカウントの作成を促され、次にカレンダーを追加するように求められます。最初のオプション「iCloudカレンダー」を選択すると、Sunriseアプリ自体のネイティブインターフェースとコードによって、Apple ID(iCloud)のメールアドレスとパスワードの入力を求める画面が表示されます。[…]
Sunrise社は、認証情報を保存しておらず、iCloudから何らかのログイントークンを取得しているだけだと主張しています。(メールアドレスとパスワードを自社のサーバーに送信してそこからログイントークンを取得しているのか、それともデバイス側でトークン交換を行っているのかは不明です。)しかし、それは全く問題ではありません。
マルコ氏はさらに、これは非常に危険ではあるものの、App Storeのガイドラインには違反していないようだと指摘しています。つまり、あらゆるアプリがApple ID情報を要求し、iCloud、iTunes、リモートワイプといったデジタルライフの鍵となる情報をサーバーに送信する可能性があるということです。
Sunriseは批判に対する回答を掲載し、アプリがiCloudの詳細情報を必要とする理由を説明しました。これは、Appleが開発者に提供している標準のカレンダーAPIでは、開発者がアプリに期待するより複雑な機能の一部がカバーされていないためです。
良いニュースとしては、Apple ID情報はSSL経由で一度だけ送信され、サーバーには保存されないと同社が説明している点が挙げられます。悪いニュースは、その転送中に多くの問題が発生する可能性があり、Sunriseのこれまでの実績は必ずしも信頼できるものではないということです。
では、これは一体何を意味するのでしょうか?多くの人にとって、大した意味はありません。しかし、この事件は興味深い議論を巻き起こしました。アプリがiCloud情報を収集することを許可すべきでしょうか?セキュリティ侵害によって何百万ものiTunesアカウントが侵害されたら、一体何が起こるのか想像もつきません。
どう思いますか?
