先週末、ブログサイトTumblrの公式iOSアプリがApp Storeから消えているのが見つかって話題になっていたが、理由はユーザーのアップロードした児童ポルノだったようだ(Tumblrのアナウンス、 Download.comの記事、 9to5Macの記事、 The Vergeの記事)。 Tumblrは対応状況を16日からアナウンスする一方で理由は公表していなかったが、Download.comはフィルタリングを通り抜けた児童ポルノが原因との情報を得る。Download.comがTumblrに確認したところ、フィルタリングに使用しているNCMECなどのデータベースに含まれないコンテンツが見つかり、即刻削除したとの回答があったという。この回答の内容はTumblrのアナウンスにも追記されている。 Tumblrはアプリの削除理由を児童ポルノだと明確に説明してはいないものの、App Store Re

Kasperskyがブログで「iOS向けアンチウイルスソフト」というものは存在しないと主張している。 iOSアプリはサンドボックス内で実行され、他のアプリやOS、他のアプリのデータヘのアクセスが制限されている。そのため、他のアプリの動作を監視するような処理が必要となるiOS向けのアンチウイルスアプリの作成は「実質的に不可能」だという。また、AppleもApp Storeの規約で「iOSベースのウイルス/マルウェアスキャナー」の提供を禁じている。 一方でKasperskyは「フィッシング対策、トラッキング対策、VPN、ペアレンタルコントロール、パスワードマネージャー、広告ブロッカー、盗難対策といった機能」などを備える「セキュリティアプリ」については一定の有用性を認めているが、これらを「インターネットセキュリティ」と呼ぶのは混乱の元だともしている。

「Android、iOSに対応したモバイル専用セキュリティソフト」をうたう「ウイルスバスター モバイル」はパッケージ版が店頭などでも販売されている。このパッケージ版を購入した場合、別途Google PlayやApp Storeからアプリをダウンロードする必要があるのだが、現在App Storeでは同アプリの公開が停止されている状態であるため、パッケージ版を購入してもインストールができない状況が続いているそうだ（BCN）。 アプリの公開停止は、先日ウイルスバスターの開発・発売元であるトレンドマイクロがユーザーに無断でブラウザ履歴などの収集などを行っていたことが判明したことが原因だと思われる（過去記事）。ウイルスバスターにいいては無断での情報収集行為は確認されていないものの、現在同社のiOSアプリがすべてApp Storeから消えている状態になっている。 トレンドマイクロによると、削除理由につ

新バージョンへの移行速度が速いiOSだが、MixpanelのデータによるとiOS 12は出足が遅いようだ(iOS 12 adotion、 Mac Rumorsの記事、 Softpediaの記事)。 iOS 12の一般提供が始まった9月17日のシェア(太平洋夏時間、24時間分)は2.82%で、翌18日のシェアは7.86%。3日目の19日に10%を超えたが、20日は12.96%と伸び悩む。提供開始5日目の21日には15.12%となっている。 一方、2016年9月13日一般提供開始のiOS 10は初日のシェアが6.48%、翌14日は14.82%。3日目の15日には20%を超え、4日目には24.53%、5日目の17日には25%を超えた。17日目にiOS 9を上回り、19日目には50%を超えている。 2017年9月19日一般提供開始のiOS 11はiOS 10と比べると若干ペースは遅いものの、初日に

Appleは8月31日、App Store Reviewガイドラインで6月下旬に変更されたプライバシーポリシー要件を10月3日から適用することを発表した（App Store Connectの発表、9to5Mac、SlashGear、Mac Rumors）。 6月下旬の変更では、5.1.1「データの収集及び保存」に「プライバシーポリシー」条項が追加され、すべてのアプリケーションがプライバシーポリシーを用意し、App Store Connectのメタデータフィールドと各アプリケーション内にリンクを含めることが必要になった。変更前は「ユーザーまたは使用状況に関するデータを収集するアプリケーション」に限り、データ収集に関するプライバシーポリシーが必要とされていた。 10月3日以降、App StoreまたはTestFlightで提供するすべての新規アプリおよび更新版アプリは、App Store Co

2015年、英国でiOSのファイル共有機能「AirDrop」を悪用してわいせつ画像を送りつける事件があったことが報じられたが、同様の事件が日本でも発生、容疑者が逮捕される事態となった（INTERNET Watch、サンケイスポーツ、時事通信）。 手口としては英国の事件とほぼ同じで、AirDropを使って「男性の局部画像」が女性に送りつけられたという。AirDropでは受信を許可する相手を設定できるが、初期設定では「すべての人」になっているため、そのままでは見ず知らずの相手から送信されたファイルを受信してしまう。 今回は容疑者が不審な動きをしていたことから逮捕につながったようだ。容疑者と被害者との間には面識はなかったという。 こういったAirDropの悪用は日本でも以前より危惧されており、弁護士がわいせつ物頒布罪に当たる可能性があると指摘していたが、今回の事件では県迷惑防止条例違反容疑での逮

偽のモバイルデバイス管理(MDM)サーバーを用い、インド国内で使われている13台のiPhoneをターゲットにして行われていた攻撃についてCisco Talosが報告している(Cisco's Talos Intelligence Group Blogの記事、 The Registerの記事、 Ars Technicaの記事)。 この攻撃はオープンソースのMDMサーバーにターゲットのiPhoneを登録させ、正規アプリの改変版を送り込んでデータを収集するというものだ。どのようにしてiPhoneがMDMに登録されたのかは判明していないが、デバイスへの直接アクセスまたはソーシャルエンジニアリング的手法で誘導したものとみられている。 改変されたアプリはWhatsAppとTelegram、礼拝の時刻を知らせるPrayTimeの3本。BOptionsによりライブラリーをサイドローディングする手法で改変が行

先日公開されUSB制限モードなどが話題となるiOS 11.4.1だが、「Taiwan」とタイプしたときに特定の言語や地域設定を施したiPhoneがクラッシュする問題がひっそりと修正されたことも話題となっている（GIGAZINE、Engadget Japanese、Yahoo!ニュース）。 報道によると、この不具合は国や言語の設定に中国や中国語を設定している場合に起きていたそうで、Appleが中国政府におもねって台湾国旗の絵文字を削除したが、対応が不完全で絵文字の変換処理でnull参照となりクラッシュしてしまったと分析している。 これが忖度なのか要求があったのかは不明だが、こうした対応がバグという形で白日の下に晒されてしまうというのは皮肉なものである。

Appleが9日に一般リリースしたiOS 11.4.1で、以前からたびたび話題に上っていたiOSのUSB制限モードが搭載された（AppleサポートドキュメントHT208857、The Vergeの記事[1]、Mac Rumors、Ars Technica）。 USB制限モードはパスワード保護された端末のロックを解除せずに一定時間経過すると、Lightningポートの機能が充電のみに制限されるというものだ。iOS 11.4.1の場合、USBアクセサリーやPCと接続するには少なくとも1時間以内にロックが解除されている必要があり、そうでない場合はロックを解除しなければUSBデバイスが認識されない。状況によっては充電もできない可能性があるそうだが、USB電源アダプターを接続した場合は問題なく充電できるとのこと。なお、「設定」アプリの「Face ID/Touch IDとパスコード」で端末ロック時のU

先日、Hacker Houseの共同設立者のMatthew Hickey氏は、「iOSのセキュリティ機能を回避して、パスコードを総当たり攻撃で突破できる脆弱性が発見された」と発表した。iOSには間違ったパスコードが10回入力されると端末のデータをすべて消去する機能があるが、パスコードを短時間で一気に送信することで、データ消去が実行される前にロックを解除できるという内容なのだが、この指摘は正しくないとAppleなどが反論している（iPhone Mania、CNET、Slashdot）。 ほかの研究者などの指摘によると、入力が早すぎる場合入力したデータがセキュリティプロセッサに送信されないことがあり、そのため高速な総当たりによるパスコード突破は現実的には行えないようだ。

AppleがiOS 12への搭載を計画しているUSB Restricted Modeについて、iPhoneアンロックツール GrayKeyを提供するGrayshiftが既に迂回方法を発見したのではないかとMotherboardが報じている(Motherboardの記事、 SlashGearの記事、 9to5Macの記事、 The Next Webの記事)。 USB Restricted ModeはiOSデバイスが最後にアンロックされてから一定時間が経過するとLightningポートの機能が充電のみに制限され、USBアクセサリーやPC/Macと通信するにはパスコードの入力が必要になるというもの。iOSベータにはたびたび実装されており、iOS 12ベータの実装では制限時間が1時間となっている。米捜査機関が利用するGrayshiftやCellebriteのiPhoneアンロックツールはLight

ベータ版のiOS 11.4に搭載されたUSB Restricted Modeについて、ElcomSoftがテスト結果を紹介している(ElcomSoftのブログ記事、 Mac Rumorsの記事、 VentureBeatの記事、 Softpediaの記事)。 USB Restricted Modeはベータ版のiOS 11.3で登場したもので、Lightningポート経由でUSBアクセサリーやMac/PCと通信するには、少なくとも7日に1回はiOSデバイスでパスコードの入力が必要とされる。iPhoneアンロックツールを提供するGrayshiftでは、デバイスが最後にアンロックされてから7日以内に使用する必要があると顧客向けブログで警告していたようだが、USB Restricted Modeはファイナル版のiOS 11.3で削除されている。 Elcomsoftの実験では、パスコードの設定されたi

iPhone 7/7 Plusの一部で、iOS 11.3以降にアップデートするとマイクが使用できなくなる問題が発生しているそうだ（9to5Mac、Mac Rumors、The Verge、VentureBeat）。 症状としては通話相手に声が聞こえない、ボイスメモや動画撮影で音声が録音されない、Siriが使用できないといったもの。また、通話中にスピーカーボタンがグレイアウトするといった症状もみられるという。ただし、報告件数は少なく、多くのユーザーが影響を受ける問題ではないようだ。 Appleは公式にコメントしていないが、この問題に関してアップル正規サービスプロバイダー（AASP）に配布された文書を9to5MacとMac Rumorsがそれぞれ入手している。文書では症状が確認された場合、Bluetoothヘッドセットやその他のオーディオアクセサリーとの接続を切断し、それでも解消しない場合はオ

Appleは24日、iOS 11.3.1をリリースした(サポートドキュメント HT208067)。 本バージョンではサードパーティの修理業者を利用して非純正のディスプレイユニットに交換したiPhone 8をiOS 11.3にアップグレードすると、タッチスクリーンが機能しなくなる問題が修正されている。iOS 11.0.3のリリースノートに非純正部品の画面に交換すると正しく動作しない可能性があると注記されていたこともあり、Appleが故意に非純正部品をブロックしたとの見方もあったが、iFixitはバグの可能性を指摘していた。なお、今回のリリースノートにもほぼ同じ内容の注記がみられる。 このほか、本バージョンではセキュリティ上の問題が4件修正されている。

Appleが3月29日にリリースしたiOS 11.3にアップデートすると、サードパーティの修理業者を利用してApple純正でないディスプレイユニットに交換したiPhone 8のタッチスクリーンが機能しなくなる問題が発生しているそうだ(Motherboardの記事、 Mashableの記事、 SlashGearの記事、 The Guardianの記事)。 サードパーティの修理業者で部品を交換したiPhoneでは、2016年にiPhone 6/6 PlusをiOS 9にアップデートするとエラー53が発生して使用できなくなる問題が発生している。この問題はiOS 9.2.1のアップデートで修正されているが、昨年10月リリースのiOS 11.0.3でも非純正部品を使用したiPhone 6sのタッチスクリーンが反応しない問題が修正されていた。iOS 11.0.3のリリースノートには、「非純正部品の画面

米捜査機関によるiPhoneのアンロックといえばイスラエル・Cellebriteのツールが知られているが、3月初めに米スタートアップ企業Grayshiftのアンロックツール「GrayKey」の存在をForbesが報じて話題になった。このGrayKeyについて、Malwarebytesが匿名の情報提供者から情報を入手し、写真入りで紹介している（Malwarebytes Labs、Register、Mac Rumors）。 GrayKeyは4インチ×4インチ×2インチのグレーのボックスで、Mac miniを一回り大きくしたような感じだ。フロントから2本のLightningケーブルが出ており、iPhoneを2台まで同時に接続できる。iPhoneを接続すると2分ほどでパスコードのクラックが始まる。所要時間はパスコードによって異なるが、情報提供者が見たものでは2時間程度、Grayshiftのドキュメ

iPhoneの重要なソフトウェアコンポーネント「iBoot」のものとされるソースコードがGitHubで公開され、米デジタルミレニアム著作権法(DMCA)に基づくAppleの削除要請により削除されている(Motherboardの記事、 Mac Rumorsの記事、 9to5Macの記事、 The Registerの記事)。 iBootはiOSデバイスなどの第2段階ブートローダーとされ、リカバリーモードを実行するほか、カーネルが改変されていないかをチェックする役割を果たすという。公開されていたのはiOS 9のもので、不足しているファイルがあるためコンパイルすることはできない。ただし、最新のiOS 11でも共通部分があるとみられ、セキュリティ研究者による脆弱性発見などに役立つ可能性が指摘されている。 iBootのソースコードとされるものは昨年9月、リンクがRedditに投稿されていたものの、あま

バッテリーの劣化したiPhoneのパフォーマンスを絞っているという疑惑をAppleが認めた翌日の21日、この問題に対するクラスアクション訴訟の提起が米国で相次いだ（Ars Technica、Neowin、Mac Rumors、Guardian）。 Appleによれば、リチウムイオンバッテリーは低温や残量低下、長期使用による劣化などで必要なピーク電流を供給できず、予期しない電源断を引き起こす可能性があるため、パフォーマンスを絞る機能を追加したとのこと。iPhone 6/6s/SEではこの機能が昨年適用されており、iOS 11.2でiPhone 7に適用し、今後対象を広げる計画だとも述べている。 イリノイ北部地区連邦地裁で提起された訴訟は、パフォーマンス低下が原因でiPhoneを新モデルに買い替えたという5人が原告だ。訴状ではAppleが（バッテリーの劣化したiPhoneの予期しない電源断を避

AppleがApp Store審査ガイドラインを改定し、APIの使用やガチャ(loot box)の提供、テンプレート/アプリ生成サービスを使用して作成したアプリに関する記述を追加したほか、VPNアプリに関する項目を追加している。なお、日本語版のガイドラインにはまだ変更が適用されていない(英語版ガイドライン、 9to5Macの記事)。 利用可能なAPIに関する2.5.1には、HomeKitやHealthKitを例にAPI/フレームワークが意図した用途にのみ使用し、API/フレームワークを統合した旨をアプリの説明に記載すべきだという記述が追加された。App内課金に関する3.1.1にはガチャのような仕組みを提供するアプリは顧客が購入する前に各アイテムが当たる確率を公表する必要があるとの記述が追加されている。 有料のテンプレートや生成サービスを使用したアプリを却下するという4.2.6は6月に追加さ

Google Project Zeroのセキュリティリサーチャー、Ian Beer氏の謎めいたツイートに、iOS脱獄コミュニティがざわついているようだ(Motherboardの記事、 9to5Macの記事、 Softpediaの記事、 The Next Webの記事)。 ツイートの内容は「iOS 11のカーネルセキュリティの調査に興味があるなら、iOS 11.1.2以前のデバイスを調査専用に確保しておくように。もうすぐPart I (tfp0)をリリースする」といったものだ。Motherboardによれば「tfp0」は「task for pid 0」の略でカーネルタスクポートを意味し、OSコアの制御が可能になるものだという。そのため、iOS 11の脱獄が可能なエクスプロイトが公開されるのではないかと期待されている。 iOSの脱獄はバージョンごとに難易度が増しており、現在一般に入手可能なツー