関係者のプライバシー情報はApple(アップル)が守らなくてはならない非常に重要な情報だ。
一般のApple IDであろうと、デベロッパー登録しているユーザの個人情報であろうと、
そして社内の人間のプライバシー情報であろうと、区別はないはずだ。
Appleは日本時間の昨晩、
公式のAppleデベロッパーセンター(ADC)のアップデートを行った。
それはUIの更新をするためではなく、
非常に重大なセキュリティホールの修復をするためだった。
このセキュリティホールは、誰でも登録されているデベロッパーの個人情報にアクセスできてしまい、
ひいてはAppleストアの店員やApple社員、
さらには主要なパートナー企業の個人情報にさえアクセスできてしまうという酷いものだったらしい。
このセキュリティホールはジェシーと名乗るデベロッパーによって発見され、
Appleに報告された。
ではジェシーはどのようにこのセキュリティホールを発見したのだろうか。
実はこんな方法だった。
まずジェシーはAppleのサイトから「Radar」というアプリをダウンロードした。
このプログラムはApple IDを使ってログインする必要があり、
更にこれはApple内部の従業員名簿の中のIDを使わないとログインできなかった。
適当なIDを入れると「ログインできません」という表示が出るのだが、
そんな状態でもこのアプリの「メンバー検索機能」を使うことができ、
そのメニューを開いて検索し、
適当なキーワード(例えば名前、電話番号、メールアドレスの一部等)を入れて検索すれば、
アプリはそれによって部分検索をしてリストを表示してしまい、
アクセス権がなくともその内部情報にアクセスできてしまう状態だったという。
例えばRadarでAppleのCEOの「Tim Cook」で検索すると以下のようなリストが出てくるようだ。
電話番号、E-mailなどが検索できる状態になってしまっていた。
このセキュリティホールはかなり危険だが、Appleは昨晩既に修復している。
Appleはこのセキュリティホール情報やADCサイトの修復について公開しておらず、
公式にはこのセキュリティホールが本当に修復されたか確証を得ることはできないが、
デベロッパーの間では既に修復されたことが確認されている。
念のため、デベロッパー登録している人はパスワードを変更しておいた方が良いだろう。
記事は以上。