Feeds:
投稿
コメント

Posts Tagged ‘iOS’

gamma-group-header.0

[Wikileaks が明らかにした FinFisher:The Verge

もの凄いことになっているスパイウェアの世界・・・

A Spy in the Machine | The Verge

One day in 2011, Moosa opened the Facebook Messenger app on his iPhone. What he saw was chilling: someone else typing under his name to an activist friend of his in Bahrain…

Facebook was only the beginning. Unbeknownst to him, Moosa’s phone and computer had been infected with a highly sophisticated piece of spyware, built and sold in secret.

It was a sign of a more sophisticated author at work. The implant used a technique called process-hollowing — injecting its own code into a program that’s still running in order to use the legitimate program as cover. […] “I thought, Finspy, that rings some bells,” Marquis-Boire recalls. “Holy shit, I think this is FinFisher!”

FinFisher had become a kind of bogeyman in the security community since brochures advertising the software’s capabilities popped up in a Wikileaks drop in December of 2011. FinFisher could purportedly empower its owner with the kinds of advanced intrusion techniques usually reserved for the NSA. “There was a certain amount of interest just because no one had seen it,” Marquis-Boire says. “All we had were these leaked documents.”

FinFisher was created and sold by Gamma International, an international surveillance company with offices in London and Frankfurt. The Gamma brochures promised remote monitoring and keylogging — they even said they could listen in on a target’s Skype calls in real time.

But now Marquis-Boire had caught a FinFisher sample in the wild, and thanks to the leaked brochures, he had a roadmap of everything the implant could do.

Marquis-Boire enlisted the aid of Claudio Guarnieri, a researcher at security firm Rapid7, to further explore the software. The two uncovered a mobile version of the implant, which came in different versions for iOS, Android, and even Symbian, like a hot startup trying to cover as much of the market as possible. […] Once the implant was installed, your phone effectively became an enemy agent. “I’d be working at my computer and start squinting at my phone, thinking, maybe I should turn that off,” Marquis-Boire says. “It produced this weird dissonance between me and this device that I carry around all the time.”

Instead of a few outposts, they found an army. FinFisher’s agents were everywhere: Japan, Germany, India, Serbia, Mongolia — there were even servers in the US. It was an atlas of personal invasions. All told, 25 countries hosted a server of some kind, each hired out to a different regime and pointing the x-ray at a different enemy of the state.

Marquis-Boire published the work in a series of three landmark papers from July 2012 to March of 2013, each titled with a cheeky Bond pun like 
”The Smartphone Who Loved Me” or “You Only Click Twice.” The papers laid out everything he knew about FinFisher’s network, revealing a global surveillance network that was being hired out to some of the world’s most repressive governments. Targeted exploits weren’t just for the NSA anymore. They were available to anyone who could pay for them.

Once the papers were published, FinFisher went back underground. The coders behind the program began to change its routines and filenames enough to let it slip by unnoticed.

Their primary concern stems not from what effect FinFisher could have on their activism, but from the specter of having their personal lives invaded — the same fundamental privacy concern behind much of the NSA surveillance controversies in the US.

“They actually have a system that the government buys, and they get the whole package,” Marczak says. “It’s not just the code itself, it’s the administration, the analysis, the support — the whole framework is provided.”

That turns the same surveillance conducted by the NSA or GCHQ into a market product, available to the highest bidder with no questions asked. “The value proposition is essentially: ‘Activists in your country are giving you trouble? Well here’s a product that will allow you to turn their cellphone or computer into basically a wiretap, a surveillance tool, and you can spy on everything they do,’” Marczak says. “And I think governments are very attracted to that.”

Wikileaks releases FinFisher files to highlight government malware abuse | The Guardian

FinSpy Surveillance Tool Takes Over Computers Video – Bloomberg | YouTube

国民監視用マルウェア詰め合わせキット「FinFisher/FinSpy」の内部文書やソースコード40GB分がリークされて誰でもダウンロード可能に | GIGAZINE

伊東 寛 × 櫻井よしこ「国益を守るため情報を取るのは世界の常識だ。日本はかなり劣っている」:世界の情報監視プログラムから考える日本の情報・諜報活動 | 言論テレビ

Read Full Post »

Kids-in-class

[インターネット新人類:photo

タブレットが伸び悩んでいることに対する大変興味深い見方・・・

Marco.org: “Replacing the PC” by Marco Arment: 05 May 2014

     *     *     *

若者のメインコンピュータは携帯電話

Replacing the PC

Dustin Curtis いわく:

Dustin Curtis:

若者たちは携帯電話をメインコンピュータとして育った世代だ。それがインターネットに対する考え方や使い方を根本的に変えてしまった。大人の場合と違って携帯電話でもインターネット体験が劣るワケではないので、彼らにとってタブレットは不必要なのだ。携帯電話での体験がインターネットそのものというワケ。

Young people are growing up on the mobile phone as their primary computing device, which has fundamentally changed the way they use and think about the internet. Tablets are simply unnecessary for them, because the mobile phone doesn’t offer a degraded internet experience, like it does for adults: it is the internet experience.

     *     *     *

両側から押されるタブレット

そのとおりだ。

Bingo.

タブレットが姿を消すとは思わないが、大衆マーケットとしてみたときタブレットは両側から押されることになる。大型スクリーンの電話と小型で軽いラップトップの2つに挟まれて、ますます窮屈になるだろう。タブレットがメインコンピュータである比率はもう峠を越えたのかもしれない。

I don’t think tablets will ever disappear, but for mass-market use, they’re going to keep getting squeezed from both sides: larger-screened phones and smaller, lighter laptops. The percentage of people whose primary computing device is a tablet may have already peaked.

     *     *     *

買い替えも減る?

今後数年間、ますます多くのひとが古いタブレットの買い替えをしなくなるのではないかと思う。むしろ電話を(そして必要ならコンピュータを — もし持っていればの話だが)すべての用途に使うようになるのではないか。皮肉なことに、まさにそれが PC とタブレットの関係で起きたことなのだ。

Over the next few years, I suspect an increasing number of people will choose not to replace old tablets, instead just choosing to use their phones for everything (and computers, if they have and need them). Ironically, this is exactly what tablets did to PCs.

     *     *     *

孫たちを見ていてもそうだなあと思う。

iPhone の小さな画面を苦にせず、インターネットにアクセスしまくっている。まさにインターネット新人類だ。

iOS 7.1 のアップグレードで太い字体やシェードボタンが見やすくなったと老齢の筆者はよろこんだものだが、孫たちにしてみれば好きだった細身字体のデザインや美的感覚が損なわれたと不評だった。

これからはデザインの嗜好も若い(ごく若い)人たちに合わせることになるのかもしれない。

とまれ携帯電話が未来世代のメインコンピュータだとすると、iPad の伸び悩みもムリないということか・・・

★ →[原文を見る:Original Text

Read Full Post »

itunes-festival-sxsw

[iTunes Festival at SXSW:image

John Gruber によれば・・・

Daring Fireball: “iOS 7.1 and the iTunes Festival at SXSW” by John Gruber: 04 March 2014

     *     *     *

iOS 7.1 と iTunes Festival

iOS 7.1 and the iTunes Festival at SXSW

米国で初めてのアップル iTunes Festival が来週の今日からオースティンの SXSW で始まる。アップルは新しいアプリでそのパフォーマンスを iOS デバイスへストリーミングする。しかし小ちゃな小鳥ちゃんから聞いたところでは、このアプリには iOS 7.1 が必要だという。(だからこのアプリはまだ出ていない。) — ということは iOS 7.1 はいつ出てもおかしくないということだ。

Apple’s first iTunes Festival in the U.S. starts a week from today at SXSW in Austin. Apple is going to stream the performances to iOS devices using an app, but I’ve heard from a little birdie that the app requires iOS 7.1 (which explains why the app isn’t out yet). That means iOS 7.1 should ship any day now.

     *     *     *

久しぶりの John Gruber のリーク・・・

★ →[原文を見る:Original Text

Read Full Post »

Update:続報 — Android は安全だ》

android-malware-pcm

[Android とマルウェア:image

Sundar Pichai の非常に率直な発言が話題になっている。

スペインのバルセロナで開催されている Mobile World Congress で、グーグルの Android チームを率いる Sundar Pichai が Android の安全性について答えたものだ。(Pichai は Andy Rubin の後を継いで Android の責任者となった。)

Pichai の発言の内容はつぎのとおり。

9to5Mac: “Google’s Sundar Pichai: Android not designed to be safe, would target Android too if he were making malware” by Ben Lovejoy: 27 February 2014
FrAndroid: “Pour Sundar Pichai, ‘le Galaxy S6 sera sous Android’” by Ulrich Rozier: 27 February 2014

     *     *     *

Android の安全性は保証できない

Android の安全性が確実であるように設計されているとは保証できない。むしろ Android は自由度を与えるべく設計されているからだ。Android を対象とするマルウェアの9割を話題にするとき、これは世界で最もポピュラーな OS への攻撃であることに思いをいたすべきだ。もし自分がマルウェア製作に専念する会社を持っているとしたら、当然自分は Android を攻撃目標にするだろう[と彼は笑いながら答えた。]

[9to5Mac の英訳]
We cannot guarantee that Android is designed to be safe, the format was designed to give more freedom. When people talk about 90% of malware for Android, they must of course take into account the fact that it is the most popular operating system in the world. If I had a company dedicated to malware, I would also be addressing my attacks on Android.

[FrAndroid の原文]
« Nous ne pouvons garantir que Android est conçu pour être sûr, son format a été conçu pour donner plus de liberté. Quand ils parlent de 90 % des logiciels malveillants destinés à Android, ils doivent bien entendu tenir compte du fait que c’est le système d’exploitation le plus utilisé dans le monde. Si j’avais une entreprise dédiée aux logiciels malveillants, j’adresserais également mes attaques à Android« , a t-il déclaré avec un grand sourire.

     *     *     *

どういう文脈で語られたものかいまひとつよく分からない。

また、FrAndroid のフランス語を 9to5Mac が(グーグル翻訳で)直訳しているように見えることから、発言の際のニュアンスも不明だ。

しかし OS の安全性が問題になっている折から、あからさまともいえるその「率直さ」が注目を引いた。

当然アップルギークからの反撃が出る。

     *     *     *

マルウェアこそが自由だって:John Gruber

Daring Fireball: “Malware Is Freedom” by John Gruber: 27 February 2014

古い Windows 時代の言い草だ。Android がポピュラーだから当然マルウェアもたくさんあるのだと。しかしある意味サードパーティの開発者のサポートという点で、唯一 Android が iOS に差をつけている点だ。

The old Windows line of defense: Android is so popular of course it has all the malware. For some reason, though, that’s the only sort of software where Android leads iOS in third-party developer support.

     *     *     *

グーグルの本音だ:Jim Dalrymple

The Loop: “Google: We can’t guarantee Android is designed to be safe” by Jim Dalrymple: 27 February 2014

久しぶりにグーグルが本音を口にした。

Those are the first true words to come out of Google in a long time.

     *     *     *

ちょうどアップルが「iOS 安全性白書」(iOS Security White Paper)を出したばかり。

iOS Security White Paper | Apple

アップルの「iOS 安全性白書」

その最初の第一行が:

「アップルは安全性を中核にして iOS プラットフォームを設計している。」

Apple designed the iOS platform with security at its core.

     *     *     *

モバイル世界を率いる2大プラットフォームの対応はなんとも対照的だ・・・

★ →[原文を見る:9to5Mac
★ →[原文を見る:FrAndroid

     ❖     ❖     ❖
     ❖     ❖     ❖

《Update》続報 — Android は安全だ(3月1日)

sundar_pichai_google_svp

[Sundar Pichai:photo

FrAndroid の記事で第一報を伝えた Mashable が、グーグルの提供したトランスクリプトを基に、Sundar Pichai の発言内容を訂正している。

Android は安全ではないとはひとこともいっていない、と・・・

Mashable: “Google’s Sundar Pichai: Android Built to Be Secure [UPDATED]” by Karissa Bell: 27 February 2014

     *     *     *

とても安全だ

Android は非常に、大変安全に作られている。あなたがそう見るのは、Android がオープンなプラットフォームなので、多くの人が異なったやり方で Android を出荷でき、したがって一部のパートナーがデバイスを出荷するとき Android の古いバージョンを搭載するからだ。その場合は確かに安全上の脆弱性が生じる。だからといって Android が安全でないことを意味するものではない。

Android was built to be very, very secure. The thing that you’re seeing is because Android is an open platform, many people can ship Android in many different ways and so there are some partners when they ship devices, they have an older version of Android. And sure you can have a security vulnerability there, but that doesn’t mean Android isn’t secure.

     *     *     *

安全でないからではなく、多く使われているから

マルウェアの 90% が Android を攻撃目標としているなどという数字を挙げられると、残念ながらかかるマルウェア会社を経営している頭のいい企業人ならそうすべきかもといわざるを得ない。しかしこういう見方は間違っている。多くのマルウェアが Android を攻撃するのはそれが他のいかなるスマートフォンプラットフォームより多く使われているからという考え方があることは明らかだ。

When you say numbers like 90% of malware is targeting Android, you know, I hate to point out that if you’re a smart business person running this malware company, that’s what you should do. It’s the wrong way to look at the lens. Obviously, you will always see more malware targeting Android because Android is used more than any smartphone platform by a pretty substantial difference.

     *     *     *

Sundar Pichai の発言内容がなかなか微妙な言い回しであることが分かる。グーグルがトランスクリプトを提供したのもそのためだろう。

現地の、別の言語のローカル記者を経由したことで、さらに本人の発言の趣旨からかけ離れたものになってしまったのかもしれない。

「Lost in Translation」の典型のようにも思える。

あまりに刺激的内容だったので、つい筆者も第一報で取り上げた。

第一報、とくにウラ取りのできていない第一報を取り上げる危うさを改めて痛感した。

★ →[原文を見る:Original Text

Read Full Post »

SSL_bug_test_site

[安全です:goto fail テストサイト

大騒ぎされた “goto fail” SSL/TLS バグが、OS X のアップデートでさっそく修正された。

Ars Technica: “Apple releases OS X 10.9.2, patches SSL flaw and adds FaceTime Audio support” by Andrew Cunningham: 26 February 2014

     *     *     *

OS X でも goto fail バグを修正

数か月のテストを経て、OS X 10.9.2 が一般公開された。通常のアップデートやセキュリティ項目に加えて、Mavericks でも “goto fail” SSL/TLS バグが修正されたことが大きな点だ。iOS 7 では金曜日に修正済みのものだ。SSL バグについては Software Update のリリースノートでははっきりとは触れられていないが、OS X 10.9.2 の セキュリティページでは触れられている。アップデートした後 Safari でいくつかの goto fail テストサイトを訪れてみて、このバグが修正されていることが確認できた。Mountain Lion および Lion のセキュリティアップデートもリリースされている。もっとも OS X の古いバージョンは goto fail バグの影響を受けない。今回のパッチはそれ以外の問題に対応するものだ。いずれにしてもユーザーは goto fail バグの心配をする必要がなくなった。

After several months of testing, Apple has released OS X version 10.9.2 to the general public. In addition to the typical laundry list of updates and security fixes, the second major update to Mavericks fixes the “goto fail” SSL/TLS bug that Apple patched in iOS 7 on Friday. The SSL bug isn’t mentioned in the release notes that appear in Software Update, but the bug is mentioned on Apple’s security page for 10.9.2. We were also able to confirm the fix by visiting several goto fail test sites in Safari after applying the update. Security updates for Mountain Lion and Lion have been provided as well, but previous versions of OS X were never affected by the goto fail bug in the first place—those patches will fix other problems, but users won’t need to worry about the goto fail bug either way.

     *     *     *

何をおいてもすぐにアップデートすべきかと・・・

★ →[原文を見る:Original Text

Read Full Post »

Update:SSL バグについて知っておくべきこと》

iOS_bug

[iOS 7 のバグ修正:image

アップルの iOS 7 バグ修正がセキュリティ専門家の注目を浴びている・・・

Wired.com: “Behind iPhone’s Critical Security Bug, a Single Bad ‘Goto’” by Kevin Poulsen: 22 February 2014

     *     *     *

アップルのバグ修正

昨日アップルは、SSL[注:Secure Sockets Layer、インターネット上で情報を暗号化して送受信するプロトコル]暗号化の実装に関するバグを修正する iOS 7.0.6 を公開した。SSL 暗号化は盗聴やウェブハイジャッキングを防止するインターネットの標準的防御メカニズムだ。このバグは基本的にはユーザーがパブリック Wi-Fi や NSA[National Security Agency:米国家安全保障局]が盗聴可能なネットワークを通じてEメール、ツイート、フェイスブックの利用、あるいは銀行口座のチェックなどを行なう際、アタッカーが盗聴し、あるいは iPhone や iPad に伝わる内容を悪意を持って修正できることを意味している。

Apple released iOS 7.0.6 yesterday to patch the bug in its implementation of SSL encryption — the internet’s standard defense against eavesdropping and web hijacking. The bug essentially means that when you’re e-mailing, tweeting, using Facebook or checking your bank account from a shared network, like a public WiFi or anything tapped by the NSA, an attacker could be listening in, or even maliciously modifying what goes to your iPhone or iPad.

     *     *     *

「ひどい、実にひどい」

しかし昨日のアップルの簡単な説明に対し、インターネットの暗号解読の一部の専門家たちは、具体的にどんなバグなのかという点について疑問の声を上げた。そして非公式にその詳細情報を入手するにつれて、唖然として言葉を失ったとでもいうべきリツイートが出てきた。「アップルのバグが何なのか分かった。それはひどい、実にひどい」と Johns Hopkins 大暗号学教授の Matthew Green はツイートしている。

But the terse description in Apple’s announcement yesterday had some of the internet’s top crypto experts wondering aloud about the exact nature of the bug. Then, as they began learning the details privately, they retreated into what might be described as stunned silence. “Ok, I know what the Apple bug is,” tweeted Matthew Green, a cryptography professor at Johns Hopkins. “And it is bad. Really bad.”

     *     *     *

バグの詳細分析

今朝になるともっと詳しい内容が Hacker News に浮上した。またグーグルのウェブ暗号専門家 Adam Langley はアップルの公開ソースコードを読み解いてバグの詳細分析を投稿した。

By this morning, the details had surfaced on Hacker News, and Adam Langley, a web encryption expert at Google, posted a detailed breakdown of the bug based on his reading of Apple’s published source code.

     *     *     *

ひと目で分かる

ソフトウェアバグのいくつかは非常に微妙で複雑だ。しかし子供のときに BASIC をかじったことがあるものなら誰にとっても一見しただけで明らかなものもある。iOS 7 のバグは後者に属する。

Some software bugs are infinitely subtle and complicated. Others are comprehensible almost at a glance to anyone who dabbled in BASIC as a kid. The iOS 7 bug is in the latter group.

     *     *     *

問題のコード


static OSStatus
SSLVerifySignedServerKeyExchange(SSLContext *ctx, bool isRsa, SSLBuffer signedParams,
                                 uint8_t *signature, UInt16 signatureLen)
{
	OSStatus        err;
	...

	if ((err = SSLHashSHA1.update(&hashCtx, &serverRandom)) != 0)
		goto fail;
	if ((err = SSLHashSHA1.update(&hashCtx, &signedParams)) != 0)
		goto fail;
		goto fail;
	if ((err = SSLHashSHA1.final(&hashCtx, &hashOut)) != 0)
		goto fail;
	...

fail:
	SSLFreeBuffer(&signedHashes);
	SSLFreeBuffer(&hashCtx);
	return err;
}

     *     *     *

暗号化キー認証のための関数

分かるだろうか? 上記の関数は iPhone が SSL を通じて暗号化されたサイトに接続するときに呼び出される。ウェブサイトの管理者が暗号化キーを認証(デジタル署名)するためのものだ。

Did you see it? This function is called when a iPhone connects to an encrypted site over SSL: it’s meant to verify that the encryption key is being vouched for — digitally signed — by the operator of the website.

     *     *     *

たった一行のミスが

続いて並んでいる2つの「goto fail」文に注目して欲しい。最初のものは正しい。しかし2番目はタイプミスだ。この余計な一行によってプログラムの実行が回避される。迂回ステントのように、重要な認証チェックをくぐり抜けるのだ。デジタル署名をチェックするこの部分が、決して実行されないコードになっているワケ。

But notice the two “goto fail” lines, one after the other. The first one belongs there. The second is a typo. That extra, duplicative line diverts the program’s execution, like a bypass stent, right past a critical authentication check. The part where the digital signature is actually checked is dead code, never reached.

     *     *     *

OS X にはまだ脆弱性

この問題は新しい iOS 7.0.6 では確かに修正されていると Langley はいう。(iOS 7 ユーザーはこのアップデートをインストールすべきだ。)昨日の iOS 6 のアップデートもまたこのバグを修正している。しかしニュースでは OS X 10.9.1 にはまだこの脆弱性があるという。

The issue, Langley confirms, is indeed fixed in the new iOS 7.0.6 (which you should install, if you’re using iOS 7.) An update to iOS 6 pushed yesterday fixes the bug there as well. Reportedly, OS X 10.9.1 is still affected by the vulnerability.

     *     *     *

単なるミス?

#gotofail」と呼ばれるようになったこの驚くべき単純さ故に、このバグは決して偶然ではないのではないかという Snowden 流の憶測まで生じている。ただしグーグルの Langley はそういってはいない。

The breathtaking simplicity of what’s already being called #gotofail is spawning Snowden Era speculation that the bug was no accident at all. Google’s Langley is having none of that.

「これは単なるミスだと思う。エディタでうっかり書き、作ったのが誰であれ残念なことだと思う」と彼はいう。

“I believe that it’s just a mistake, he writes, “and I feel very bad for whomever might have slipped in an editor and created it.”

     *     *     *

脆弱性のテストはこちら

脆弱性があるかどうかのテストは GotoFail.com できる。

You can test if you’re vulnerable at GotoFail.com.

     *     *     *

たったの1行のミスが安全性を根こそぎ揺るがせかねないという点がスゴい。

OS X にはまだこの脆弱性が残っているというワケだ。

今回の脆弱性が作為的なものかどうかという点について John Gruber が触れている。

Daring Fireball: “On the Timing of iOS’s SSL Vulnerability and Apple’s ‘Addition’ to the NSA’s PRISM Program” by John Gruber: 22 February 2014

     *     *     *

NSA の陰謀説

On the Timing of iOS’s SSL Vulnerability and Apple’s ‘Addition’ to the NSA’s PRISM Program

事実1Jeffrey Grossman のツイッター

Jeffrey Grossman, on Twitter:

SSL 脆弱性は iOS 6.0 で導入された。5.1.1 には入っていなかったのに 6.0 には入っている。

I have confirmed that the SSL vulnerability was introduced in iOS 6.0. It is not present in 5.1.1 and is in 6.0.

事実2:iOS 6.0 は 2012 年9月24日に出荷された。

iOS 6.0 shipped on 24 September 2012.

事実3:リークされた NSA の PRISM プログラムの6枚目のパワーポイントスライドによれば、アップルが「追加」されたのは 2012 年10月だ。

According to slide 6 in the leaked PowerPoint deck on NSA’s PRISM program, Apple was “added” in October 2012.

     *     *     *

陰謀説かうっかりミスか

これら3つの事実が何らかのことを証明しているワケではない。まったくの状況証拠に過ぎない。しかし当てはまると思うひとはそう信じるのだ。

These three facts prove nothing; it’s purely circumstantial. But the shoe fits.

この誤った一行を加えたのが誰なのか興味深いところだ。陰謀論的にいえば、NSA がアップル従業員のスパイのひとりを使ってこのバグを仕掛けたことになるかもしれない。当たり障りのない言い方をすれば、これはアップルのエンジニアがうっかりして引き起こしたミスだというオッカムの剃刀(Occam’s Razor)的な説明になるだろう。マージ(merge)がうまくいかず、「goto fail;」行を複製したため生じたバグのように思える

Sure would be interesting to know who added that spurious line of code to the file. Conspiratorially, one could suppose the NSA planted the bug, through an employee mole, perhaps. Innocuously, the Occam’s Razor explanation would be that this was an inadvertent error on the part of an Apple engineer. It looks like the sort of bug that could result from a merge gone bad, duplicating the goto fail; line.

     *     *     *

いったんバグができると

いったんバグが出来てしまうと、NSA としてはバグを見つけるためソースコードを手作業で読む必要すらない。新しい OS がリリースされるたびに、なりすまし証明書を自動的にテストするだけでいいのだ。アップルが iOS をリリースする、NSA が自動的になりすまし証明をテストして脆弱性を調べる、ドーン、それでアップルが PRISM に「追加される」というワケ。(NSA としては早くから変更する必要すらない。iOS 6 が開発者向けベータテストの段階だった夏の間に脆弱性を見つけてしまったのかもしれないのだ。)

Once the bug was in place, the NSA wouldn’t even have needed to find the bug by manually reading the source code. All they would need are automated tests using spoofed certificates that they run against each new release of every OS. Apple releases iOS, the NSA’s automated spoofed certificate testing finds the vulnerability, and boom, Apple gets “added” to PRISM. (Wasn’t even necessarily a fast turnaround — the NSA could have discovered the vulnerability over the summer, while iOS 6 was in developer program beta testing.)

     *     *     *

それとも・・・

それとも何事もなく、すべては偶然だったのかも。

Or, maybe nothing, and this is all a coincidence.

     *     *     *

陰謀説パラノイア

陰謀説パラノイアとして考えられる5つの可能性:

I see five levels of paranoia:

1)何も起きなかった。NSA はこの脆弱性を知らなかった。
2)NSA は知っていたが、利用しなかった。
3)NSA は知っていて、これを利用した。
4)NSA 自身がひそかにこれを仕掛けた。
5)アップルが NSA に加担してこれを加えた。

1. Nothing. The NSA was not aware of this vulnerability.
2. The NSA knew about it, but never exploited it.
3. The NSA knew about it, and exploited it.
4. NSA itself planted it surreptitiously.
5. Apple, complicit with the NSA, added it.

     *     *     *

他にもまだ・・・

自分として考えられるのはせいぜい3)までだ。自分としては実際は楽観的シナリオの方だと思う。なぜなら PRISM のスライドから、NSA としてはこの脆弱性を利用することがある程度可能だと主張していることを知っているからだ。だから今は修正されたこのバグを NSA が悪用しなかったとしても、まだ閉じられていない脆弱性がほかにもいくつか存在するかもしれないということなのだ。

Me, I’ll go as far as #3. In fact, I think that’s actually the optimistic scenario — because we know from the PRISM slides that the NSA claims some ability to do what this vulnerability would allow. So if this bug, now closed, is not what the NSA was exploiting, it means there might exist some other vulnerability that remains open.

     *     *     *

気になる最後の一行だが、この手の脆弱性なら他にもまだあるのではないかということか・・・

★ →[原文を見る:Kevin Poulsen
★ →[原文を見る:John Gruber

     ❖     ❖     ❖
     ❖     ❖     ❖

《Update》SSL バグについて知っておくべきこと(2月25日)

アップルの SSL バグについて知っておくべきことを Macworld 誌が簡潔にまとめている。

アップルに関連して NSA の話題は日本ではあまり触れられないが、それに関連する項目。

Macworld: “What you need to know about Apple’s SSL bug” by Dan Moren, Dan Miller and Serenity Caldwell: 24 February 2014

     *     *     *

アップルと NSA

問:この脆弱性によって NSA は個人の通信をのぞき見できるか?

Q: Could this vulnerability let the NSA snoop on my private communications?

答:時宜を得た鋭い質問。Daring Fireball の John Gruber は、2012 年の iOS 6 のリリースの際無修正のままだったことが明らかなこのバグが、NSA が PRISM プログラムによってアップル製品の監視が可能だと主張したものである可能性を示唆している。NSA が意図的にこのバグを仕掛けたか、ないしは利用したかという点については、陰謀説に対する読者の関心次第だといっている。しかしその可能性を完全に否定しているわけではない。

A: Astute and topical question. Daring Fireball’s John Gruber has suggested that this bug, which has apparently gone unpatched since iOS 6’s release in 2012, could be what the NSA was referring to when it claimed it could conduct surveillance on Apple products under the PRISM program. As to whether or not the NSA specifically planted or exploited the bug, which is in a piece of open-source software, that depends on your own level of interest in conspiracy theories—but it’s certainly not out of the question.

     *     *     *

バグ修正が出る時期

問:バグ修正は何時になるか?

Q: When is a patch expected?

答:問題の重要性に鑑み、早急に修正されると思われる。アップルのスポークスマン Trudy Muller は修正が「近々行なわれる」と Macworld 誌に対して語った。非公式の修正もリリースされているが、アップルからの直接のバグ修正を待つことを勧める。時期が知りたければ、そのためのサイトもある。

A: Given the severity of the problem, we’d expect imminently. Apple spokesperson Trudy Muller told Macworld that a fix was “coming soon.” An unofficial patch has been released, but we’d recommend waiting for the fix directly from Apple. And just in case you want to know the moment it’s out, there’s already a site for that.

     *     *     *

このほか Macworld 誌が準備した想定問答はつぎのようなもの。

・いったいこのバグはどうやって見つかったのか?
・そもそも SSL/TLS とは何? 何をするもの?
・具体的にはどんなことが起きたのか?
・影響を受けるのはどのシステムか?
・Safari だけが影響を受けるのか?
・Chrome など他のブラウザも影響を受けるのか?
・暗号化された Wi-Fi ネットワークでも危険か?
・バグ修正がされるまで Mac を使ったネットバンキングは控えるべきか?
・銀行の個人情報をハッカーがのぞき見しているのか? パスワードは変えるべきか?

– Okay, so how did we find out about this?
– What is SSL/TLS? What does it do?
– What exactly happened?
– What systems are affected?
– So does this just affect Safari?
– Does it affect other browsers, like Chrome?
– But my Wi-Fi network is encrypted—am I still at risk?
– So … should I not be online banking on my Mac until this is fixed?
– Does that mean hackers have been snooping through my banking info? Should I change my passwords?

読者の関心に合わせて原文をお読みください。

★ →[原文を見る:Original Text

Read Full Post »

Button_Shapes

[新しく加わった Button Shapes:image

かつて弱視者の立場から iOS 7 インターフェイスの使いにくさについて触れたことがある。

本来障害者のためのアクセシビリティだったハズなのに、それを一般のひとが使わざるを得ない状況は皮肉なことだと思う」とも書いた。

開発者に配布されたばかりの iOS 7 Beta 2 では、視覚障害者への配慮が図られているようだ。

Cult of Mac: “The Five Biggest Changes Apple Made To iOS 7.1 Today” by Buster Heine: 13 December 2013

     *     *     *

AirPlay_Button

[シェードボタンとアンダーラインボタン:image

ボタンかテキストか

iOS 7 では表示されるテキストが単なるラベルかそれともボタンなのかという混乱が生じている。これに対しアップルは応急処置を施したようだ。iOS 7 beta 2 ではアクセシビリティにボタンの形状をハッキリさせる新しい機能が加わった。ほとんどの場合は、ボタンにグレーのシェードをつけるだけだが、テキストにアンダーラインするだけの簡単なものもある。メッセージの Send ボタンや AirPlay メニューのデバイスなどがその例だ。

Confused whether some of the text floating around in iOS 7 is just a label or a button? Yeah, you’re not alone and it looks like Apple has a quick fix. iOS 7 beta 2 introduces a new Accessibility feature that turns on button shapes. While most buttons get a grey shading, other button shapes consist of a simple underlining of text – like the Send button in Messages and devices in the AirPlay menu.

     *     *     *

この新しい機能に対する開発者の反応は必ずしも好意的ではないようだ。

しかし、自らも視覚に障害を持つ Steven Aquino はこの新しい機能を高く評価している。

Steven’s Blog: “Thoughts on ‘Button Shapes’ in iOS 7.1 Beta 2” by Steven Aquino: 13 December 2013

     *     *     *

ユーザビリティ(使いやすさ)の勝利

この変更にたいするコメントのほとんどは(自分が読んだかぎり)、ボーダーラインの醜さに驚いたデザイナーたちからのもので、アップルはなぜこんなものを追加したのかと問題にしていた。純粋にデザインという観点 — 美的観点からいえば、新しい形状を批判するのはまったく妥当なことだ。じっさいに醜い。しかしこの新しい機能が加えられたということ自体が切り札なのだ。たとえボタンがどう見えようと、コントラストをハッキリさせてほしいという切実な願いに対応したという意味において、ユーザビリティ(使いやすさ)の決定的勝利なのだ。それは多分 — そして当然のこととして — アクセシビリティを必要とする視覚障害者コミュニティから賞賛されるだろう。

Most of the commentary I’ve read on this change has been from designers who are upset that the borders are ugly, and they question why Apple chose to add them. From a pure design perspective, aesthetically speaking, it’s perfectly reasonable to criticize the new shapes. They are indeed ugly, but the overall importance of this new addition trumps the way in which they’re presented. That is to say, regardless of how the buttons look, the sheer fact that they add a level of desprately-needed contrast makes the buttons a huge usability win, and likely — rightfully — will garner much praise from the visually impaired segment of the accessibility community.

     *     *     *

アップルは賞賛さるべき

アクセシビリティという観点からすると、新しい Button Shapes は iOS 7 のインターフェイスに明快さを取り戻そうとするものだ。この種のビジュアルな手掛かりは、視覚障害を持つ多くのユーザー(自分も含む)にとって非常に重要だ。この変更が加えられる前は、テキストがコントロールできるものか、それとも単なるラベルに過ぎないのか必死で判別しなければならなかった。iOS 7 の Button Shapes は「これはボタンだ。だから押して!」というレベルのユーザビリティ、すなわち iOS 6 のスタイルに耳を傾けようとしている。・・・これらのボタンは iOS 7 を現在のものよりはるかに使いやすいものにするだろう。深刻な問題を解決しようとするアップルの努力は真に賞賛されるべきだ。障害のある自分だけでなく、健常者にとっても・・・

From a AX [accessibility] perspective, what the new Button Shapes do is restore a sense of explicitness to iOS 7′s interface. These types of visual cues are so important to many visually impaired users, myself included. Whereas previously I struggled in identifying whether a label was an actionable control or simply a label, iOS 7.1′s Button Shapes hearken back to the iOS 6-style, This is a button. Tap me!, level of usability. […] These buttons will make iOS 7 infinitely more usable than it is today, and Apple absolutely should be applauded for addressing a serious issue — not only for me, but even for the normal-sighted as well.

     *     *     *

この問題に対する Marco Arment のまとめが単刀直入で核心を衝いている・・・

Marco.org: “Thoughts on Button Shapes in iOS 7.1 Beta 2” by Marco Arment: 15 December 2013

     *     *     *

まだある iOS 7 デザインの欠陥

もうひとつトグルボタンを加えることによってアップルが iOS 7 の視覚的ユーザビリティを改善しようとしているのは喜ばしいことだ。しかしながら、「Button Shapes」、「文字を太くする」、「コントラストを上げる」、「オン/オフラベル」、「視差効果を減らす」といったオプションが必要とされること自体、iOS 7 のデザインに重要な欠陥があることを示している。(少なくとも beta 1 の極薄フォントは今回は出荷されなかった。)

I’m glad Apple’s improving iOS 7’s visual usability by adding yet another toggle, but the need for Button Shapes, Bold Text, Increase Contrast, On/Off Labels, and Reduce Motion shows significant flaws in iOS 7’s design. (At least the ultra-thin fonts in beta 1 didn’t ship.)

     *     *     *

魅力的なものと使いやすさのバランス

使いにくいけれど魅力的なものをデザインするのは簡単だし、魅力的ではないけれど使いやすいものをデザインをするのも簡単だ。難しいのは二つのバランスを取ることだ。iOS 7 では魅力を追求するあまり多くのユーザビリティを犠牲にしてきた。

It’s easy to design something attractive that’s not very usable, and it’s easy to design something usable that’s unattractive. The challenge is striking a balance, and iOS 7 made too many usability sacrifices to achieve attractiveness.

     *     *     *

もし iOS 8 で・・・

このことはアップルにも分かっている。だから来年どうなるのかが興味深い。もし iOS 8 からこれらのオプションを取り除くことができなければ、それはデザインの失敗だ。

Apple knows this, so it’ll be interesting to see how it’s revised next year. If iOS 8 can’t remove any of these options, it’s a design failure.

     *     *     *

遅ればせながらビジュアルな意味でユーザビリティを高めようという動きが出てきたことは大歓迎だ。

コントロールバーの白黒反転など視覚的な意味での使いやさを高めることは、iOS 8 を待たずともやっていただきたい・・・

★ →[原文を見る:Buster Heine
★ →[原文を見る:Steven Aquino
★ →[原文を見る:Marco Arment

Read Full Post »

Older Posts »