ちょうど昨日、TrollStore 永久署名ユーティリティ開発者の Lars Fröder 氏が Bluesky に投稿した記事で、執筆時点で Apple の App Store で入手可能な一部の銀行アプリが、エンドユーザーのデバイスに特定の有害なアプリやサービスがインストールされているかどうかを確認するために、0 日間のサンドボックス エスケープ手法を使用していると報じました。
この調査結果は論争を巻き起こした。iPhoneやiPadのユーザーは、銀行がこのようなハッキング的な手法を使ってユーザーの行動を盗み見ることに不快感を覚えているからだ。これは、Appleがサンドボックス化を採用し、アプリがこのようなハッキング行為を行えないよう防ぎ、アプリが動作することを想定したいわゆる「レーン」を設定しているためだ。
今日、金融セキュリティ企業 Verichains は、ソーシャル メディア プラットフォーム 𝕏 (旧 Twitter) でブログ記事を公開し、ユーザーが同意なしにデバイスにインストールしたアプリケーションを確認するためにこれらの銀行アプリが使用している手法の詳細な分析を公開しました。これは興味深い内容です。
投稿によると、BIDV SmartBankingとAgribankを含む少なくとも2つの既知の銀行アプリがこの手法を使用しており、他にも存在する可能性があります。これらのアプリは、SBSLaunchApplicationWithIdentifierAndURLAndLaunchOptionsと呼ばれるプライベートiOS APIを利用して、ユーザーのデバイスに特定の危険なアプリがインストールされているかどうかを確認しているとされています。
どのようなアプリが標的になっているのか気になりますか? ありがとうございます。人気のパッケージマネージャーアプリ、脱獄アプリ、さらにはTrollStoreなど、多くの読者がご存知のアプリです。
- opa334.TrollStore
- coolstar.SileoStore
- opa334.ドーパミン.ルートハイド
- ルートハイドマネージャー
- cokepokes.AppStorePlus
- ウィリー・ゼブラ
- opa334.ドーパミン
- kahsooa.piqwkk.dummy
ブログ記事ではさらに、これらの銀行アプリはXOR暗号化による難読化を用いてApp Storeの審査プロセスを逃れようとしていたと説明されており、これは今のところは成功しているようだ。しかし、今回、これらのアプリが摘発されたことで、専門家はこれらのアプリがAppleのApp Storeガイドラインに違反しており、問題が解決されるまでアプリが削除される可能性があると同意している。
興味深い抜粋を以下に示します。
Apple の App Store レビューガイドライン (セクション 2.5.1 および Legal 5) によれば、明示的なユーザーの同意なしに非公開 (プライベート) API または非表示のシステム コールを使用すると、データの透明性、ユーザー制御、およびセキュリティ標準に違反し、ユーザーの信頼が損なわれます。
具体的には、ガイドライン2.5.1では、アプリは「公開APIのみを使用」し、これらのAPIを本来の目的にのみ使用しなければならないと規定されています。非公開の内部システムフレームワークや関数の使用は、アプリの却下または削除の対象となります。Appleは、アプリの安定性を維持し、ユーザーのプライバシーを保護し、プラットフォームのセキュリティを確保するために、これらのガイドラインを厳格に適用しています。
コンプライアンスの問題だけでなく、プライベートAPIの悪用はセキュリティとプライバシーの問題にもなり得ます。Appleのルールは、ユーザーが同意していないデータや機能へのアプリのアクセスを阻止する目的で存在します。例えば、デバイスの状態を調査するために隠しシステムコールを使用することは、ユーザーのプライバシーとプラットフォームのセキュリティを侵害する可能性があります。ユーザーのデバイスをスキャンして許可なく他のアプリがインストールされているかどうかを確認することは明確に禁止されており、ユーザーの信頼を損なうことになります。
iOSサンドボックスの制限を回避したり、不正なデータ(インストール済みアプリのリストなど)を収集したりすることは重大な違反行為であり、Appleやセキュリティ意識の高いユーザーにとって深刻な警告となります。このような行為は、アプリの禁止やApp Storeからの削除につながる可能性があり、数百万人の銀行顧客に影響を及ぼす可能性があります。
結局のところ、一部の銀行アプリはサンドボックスエスケープを利用して、ユーザーがジェイルブレイクされているか、あるいはTrollStoreの永久署名ユーティリティを使用しているかを確認していました。これは誤りでした。App Storeのポリシーに違反しただけでなく、ユーザーの同意なしに情報収集を行い、その過程で銀行アプリのイメージを損ないました。
Appleがこの新たな調査結果にどう対応するかは興味深い。Appleは脱獄やTrollStore全般を嫌悪しているが、サードパーティ企業によるこのような大胆なApp Store違反を容認することはできない。
この状況について、あなたはどう思いますか?下のコメント欄で教えてください。
