Panguは最近、脱獄後に一部のユーザーのPayPalアカウントに北京から不正な請求があったことや、他のユーザーのFacebookアカウントにさまざまなアジア諸国、特に中国からのログイン試行が表示されたことなどを報告するスレッドがRedditに投稿されたことで、信頼の問題に直面した。
こうした混乱にもかかわらず、Pangu は公式声明を発表し、私たちはその情報を入手しました。
いったい何が起こったのでしょうか?
週末、ある不満を抱えた脱獄ユーザーがRedditに投稿し、iOS 9.3.3用のPangu脱獄ツールと使い捨てのApple IDを使って自分のデバイスを脱獄したと主張しました。それから約1時間後、彼はPayPalアカウントに北京から身元不明のメールアドレス宛ての請求が届いていることに気づいたと主張しました。
同人物は、海賊版ストアやリポジトリは一切使用していないと主張しており、25PPの脱獄には元々北京のエンタープライズ開発者証明書が付属していたことを考えると、北京発という点は25PPにとって確かに有罪の証拠となるように思われた。その後数分から数時間のうちに、他のユーザーもハッキング被害に遭ったと報告し始めた。
脱獄後にデビットカードやクレジットカードのアカウントがハッキングされたと主張する人もいれば、脱獄後にFacebookアカウントがハッキングされたと主張する人もいます。金銭が絡んだハッキングの場合、請求額は最低50ドルから始まり、さらに高額になり、ある人はクレジットカードに600件もの請求があったと主張しています。
この投稿は大量のアップボートを獲得しました。中国製の脱獄ツールに対する人々の最大の懸念の一つは、そのセキュリティと正当性です。結局のところ、脱獄ツールが何を言っているのか読めなければ、何に同意し、何をクリックしているのか全く理解できないからです。この投稿は、まさに皆の最悪の恐怖を煽り、あっという間に/r/jailbreakサブレディットのトップに躍り出ました。
Saurik氏も後に同じスレッドに飛び込んでコメントしました。彼は、PP脱獄ツールの仕組みにはあまり満足していないと述べていました。しかし、Cydia ImpactorはApple IDをAppleに直接送信するため、デバイスを安全に脱獄できる手段として開発されました。
25PPツールをインストールするというコンセプトは、あまり好きではありません(編集:この文は以前は「信頼」と書いていましたが、混乱を招くため修正しました)。中国企業は、かなり侵入的で、競合他社のソフトウェアに対して「攻撃的」なソフトウェアを開発する傾向があり、一般的に署名の方法について懸念を抱いています(サーバー上で署名する方がはるかに簡単なので…)。だからこそ、Impactorがすべての署名と通信をローカルで実行できるように尽力したのです。とはいえ、25PPの収益モデルはローカルでの署名作業から恩恵を受ける可能性が高いため、既存の専門知識を活かして時間をかけて「正しく」署名作業を行うのは理解できます。
25PPはあなたのApple ID情報をサードパーティに送信しているのでしょうか? まあ、これは答えるのが難しい質問で、誰も本当のところは知りません。だからこそ、25PPは避け、代わりにPanguの英語版ジェイルブレイクを使用することをお勧めします。
暗い会話のように思えますが、Saurik 氏は、25PP/Pangu の共同脱獄アプリと中国の Windows ツールをめぐる謎にもかかわらず、Pangu 脱獄チームを信頼していると返答しました。
私は Pangu をかなり信頼していると付け加えておきますが、彼らのアプリの中国語版が Pangu だけに手が加えられたのかどうかはわかりません。英語版も Pangu だけが関わったものだと思いますが、25PP からダウンロードしているわけですから、いくつか問題が浮上します。25PP の従業員にサーバー管理を任せているのを信頼できますか? 誰かに疑われる前に認証情報を増やすよりも、すぐに攻撃を仕掛けるのは愚かだと思います。脱獄する人は何百万人もいることを忘れてはなりません。また、Pangu は自社の Web サイトで、問題について話し合う場としてこのサブレディットを明記しているので、私たちはたくさんの人に遭遇することになります。今週私たち全員が非常に疑念を抱いているためにここで注目されている一連のランダムな攻撃ではなく、これが脱獄プロセスの問題であるという証拠は本当にあるのでしょうか?
どちらかといえば、私たち全員が他の人よりも頻繁に使用する Web サイト (reddit など) が何らかの方法でハッキングされ、人々がそのサイトと PayPal の間でパスワードを共有していて、そのハッキングが脱獄が公開されたのとほぼ同時期に発生しただけだと思います。
Saurik 氏によると、25PP が実際にユーザーの PayPal アカウントへの不正請求の根本原因であったという証拠は不十分だという。
公平を期すために言うと、これは全くの偶然だったのかもしれません。もしかしたら、同じ場所を拠点とする企業からオンラインで何かを購入したのかもしれませんし、PayPalアカウントにアクセスした際にPCにウイルスが感染していたのかもしれません。もしかしたら、彼が言ったこととは裏腹に、実際には海賊版ソフトウェアをデバイスで実行していたのかもしれません。
確かなことは分からないことが多すぎる。特に、脱獄ツールを無料で提供している人たちを非難するのは賢明ではない。
さらに、Panguは日曜日に、この事件で彼らが直面した多くの批判と中傷に対して彼らの立場を擁護する公式声明をTwitterで発表することを決定した。
このReddit投稿とそれに対するユーザーの反応に、Panguは比較的苛立ちを隠せない様子で、自分たちは(25PPも)金銭を受け取らない、それは「愚かな行為」だからだと明言しています。また、混乱から生じた不安を払拭するために、実際に何が起こったのかを知りたいとも述べています。
私たちも25ppも、脱獄ツールを使ってユーザーのPayPalアカウントをハッキングして金儲けをするほど愚かではありません。一刻も早く真相が明らかになることを願っています。
— PanguTeam (@PanguTeam) 2016 年 7 月 31 日
Pangu は、投稿や質問への回答においてより積極的な役割を果たすために、公式 Reddit アカウントも作成したようです。
reddit公式アカウントをhttps://t.co/1OsjCHZ5Z1に登録しました
— PanguTeam (@PanguTeam) 2016 年 7 月 31 日
これは、将来、脱獄者、特に中国の脱獄に関するセキュリティと正当性について多くの疑問を持っている脱獄者との信頼関係を育むのに役立つ可能性があります。
安全ですか?
現在、iDBチームメンバーのアカウントが不正使用されたり、金融口座への不正な請求が行われたことはありません。また、デバイスはお気に入りの脱獄ツールを使っても全く問題なく動作しています。
iOS 9.3.3の脱獄に興味があるなら、やらない理由はないでしょう。大きなハードルは、アプリを毎週サイドロードするか、再起動のたびにデバイスをセミアンテザードブートすることだけです。また、脱獄したデバイスに1年間のエンタープライズ証明書をインストールして、脱獄アプリを毎週サイドロードする手間を省くという方法もあります。
突き詰めれば、脱獄はデバイスのセキュリティを低下させます。Appleのセキュリティ対策がデバイスを制御できなくなり、あなた自身が制御できるようになるため、デバイスはより多くの攻撃にさらされる可能性が高まります。尊敬を集めるルカ・トデスコ氏のツイートが、このことを最も的確に表現していると思います。
覚えておいてください: デバイスをジェイルブレイクすると、どのような場合でもデバイスの安全性が極めて低くなります。
— @[email protected] (@qwertyoruiopz) 2016年7月30日
脱獄はどれもセキュリティとカスタマイズのトレードオフです。しかし、脱獄がこれらのハッキングの全てを引き起こしたわけではありません。脱獄がこれらのハッキングの原因であると断定するには十分な証拠がありません。ひょっとすると、ハッキングは彼ら自身の重大な過失によって引き起こされた可能性もあります。
まとめ
恐ろしい話ですが、中国の脱獄アプリが公開されるたびに、このような現象が起きるようです。これが本当なのか、それとも注目を集めたいだけなのかは分かりませんが、私たちの個人アカウントにはまだ何も起こっていないことは確かです。そして、SaurikがPanguを保証しているのであれば、私たちも保証します。
一つだけ言えるのは、iOS 9.3.3を脱獄するなら、Panguの英語版ツールを使うべきであり、 Panguと25PPの共同リリースであるWindows用の中国語版脱獄ツールは避けるべきだということです。これが最も安全な選択肢です。
こちらもお読みください:
- iOS 9.3.3 脱獄に関するよくある質問
- iOS 9.3.3の脱獄証明書の有効期限について知っておくべきことすべて
- PanguでiOS 9.3.3を脱獄する方法
- iOS 9.3.3の脱獄を解除する方法
iOS 9.3.3 の Pangu 脱獄についてどう思いますか?下のコメント欄で共有してください。
