昨日、Redditで、Readdleの優れた無料モバイルメールクライアント「Spark for iPhone」の一部ユーザーがApple IDアカウントにアクセスできなくなったという報告が浮上しました。影響を受けたユーザーの中には、Apple IDのパスワードをリセットすることでアクセスを回復できた人もいました。Sparkのサーバーエラーがこの現象を引き起こしたようですが、Readdleはユーザーに対し、侵入やデータ漏洩は発生していないと保証しています。
Spark をユーザーの iCloud メールアカウントに接続するには、My Apple ID ウェブサイトにログインしてアプリ固有のパスワードを作成し、それを Spark に提供する必要があります。これは Apple ID のセキュリティを保護するために定められた Apple の標準ポリシーであり、アプリがユーザーに Apple ID の認証情報を求めることは許可されていません。
ReaddleはTwitterで「新しい、より高速なAWSサーバーロジックがiCloudのセキュリティアルゴリズムをトリガーした可能性がある」と投稿した。
あくまで推測ですが、高速サーバーへの切り替えによって意図せずiCloudトークンが無効化された可能性も考えられます。そうなると、Appleのセキュリティシステムは、無効化されたトークンを使ってiCloudアカウントへのログインを繰り返すアプリを、ハッキングの可能性と判断する可能性が高いでしょう。
「良いニュースとしては、侵入やデータ漏洩がないことだ」とReaddle氏は述べた。
今朝、同社はRedditにさらに詳しい説明を投稿した。
こんにちは皆さん
フィードバックとコメントをありがとうございます!チームは数時間にわたりこの問題の調査に取り組んでおり、現時点でわかっていることは以下の通りです。
1. 当社の調査によると、侵害やデータ漏洩は発生していません。
2. 新しい、より高速な AWS サーバーロジックが iCloud セキュリティアルゴリズムをトリガーした可能性があります。
詳細を把握するため、Appleと既に協力しています。Sparkのさらなる高速化と、既にアルファ版となっているMac版への対応に向けて、サーバー側での作業を進めています。
Apple 側から新しいニュースが入りましたら、引き続きお知らせします。
ありがとう。
この問題は、アプリ固有のパスワードを作成してアプリが iCloud アカウントを使用することを許可したすべての Spark ユーザーに影響を与えるわけではないようです。
Spark for iPhone は App Store から無料で入手できます。
影響を受けたお客様は、Apple IDへのアクセスを回復するためにパスワードをリセットすることをお勧めします。また、今後Sparkアプリをご利用にならない場合は、My Apple IDウェブサイトからアクセスを無効にすることもできます。
もう一つの賢明なアドバイスは、Apple ID のセキュリティを強化するために、古い 2 段階認証ではなく、Apple のより新しい 2 要素認証システムを有効にすることです。
たとえ誰かがあなたの Apple ID パスワードを入手したとしても、新しいデバイスへのアクセスを承認するために Apple ID パスワードの後に入力する必要があるワンタイム セキュリティ コードを生成するために使用される信頼できるデバイスの 1 つに物理的にアクセスしない限り、アカウントにログインすることはできません。
欠点としては、2ファクタ認証も2段階認証も、Sparkに限らず他のアプリでは現在利用できないことです。前述の通り、SparkのようなアプリをiCloudメール(Apple IDと同じパスワードを使用)に接続するには、いつでも取り消すことができるアプリ固有のパスワードを作成する必要があります。
この問題の影響を受けましたか? もしそうなら、Apple ID へのアクセスを回復できましたか?
出典: Reddit
