Appleが、デベロッパにroot証明を与えて暗号化されているユーザトラフィックを見られるようにするアプリを、App Storeから削除した。Appleの声明文によると、同社はそれらのアプリをストアに戻す件についてデベロッパと折衝中だそうだ。
その中には、一部の広告ブロッカーもある。それらはroot証明を使ってトラフィック(ユーザが見ているWebサイトなど)を、パケットのレベルで調べているからだ。つまり暗号化などのデータ保護を、バイパスしてしまう。Appleは従来から、iOSとOS Xからのroot証明の承認には慎重だ。
これらの広告ブロッカー(ad blockers)は、AppleがiOS 9から導入して、Safariの広告ブロックに利用されているコンテンツブロッカーとは別のものだ。むしろこれらが広告やそのほかのコンテンツをブロックする方法は、ユーザのトラフィックからそれらを削り取るというやり方だ。そのためにはVPNのような設定をして、ユーザのトラフィックがアプリ(この場合広告ブロッカー)のメーカーのサーバを通るようにし、そこでコンテンツの挿入や削除などの加工を行う。
それ自身に悪意はなくても、誤用される危険性がある。ユーザのトラフィックを外部サーバの上で第三者が読めるわけだから、それはまさにapp-in-the-middle(中間者攻撃)の状況だ。つまりそれはハッカー攻撃と紙一重であり、ユーザには知られないまま、暗号化されていないトラフィックへのアクセスを与えてしまうのだ。
削除されたアプリの中には、Been Choiceもあったらしい。これは、アプリの中でも動くコンテンツブロッカーだ。最近本誌も取り上げたが、奇妙なことにそれは、Appleのシステムの中でも仕事ができるのだ。このアプリはもう、App Storeにはない。
ユーザが意図的にVPNを使う場合は、自分のトラフィックが外部のサーバを経由していることをユーザ自身が知っている。しかしコンテンツブロッカーの場合は、知らない間にそれがやられる。だからAppleはおそらく、それらが(1)第三者のroot証明を使っている、(2)トラフィックを外部サーバに回して削除などの加工をする、(3)VPNと違ってAppleの推奨ビヘイビアではない、の理由により禁止したのだ。VPNの公式サポートは、iOS 9にも引き継がれている。
Appleの声明文がこれ:
Appleは顧客のプライバシーとセキュリティの保護に深くコミットしている。弊社は、root証明を設定する一部のアプリをApp Storeから削除した。それは顧客のネットワークデータのモニタリングを可能にし、その結果、SSL/TLSによるセキュリティが破壊されることもありえるからだ。弊社は今、これらのデベロッパと密接に協働して、彼らのアプリが、顧客のプライバシーとセキュリティを危険にさらすことなく、App Storeに迅速に戻れるよう、努力している。
Safariにあるような、アプリ内の広告やそのほかのコンテンツをブロックする枠組みは、現在のAppleにはない。アプリを削除された/される可能性のあるデベロッパは、そのコンテツブロッカー的なアプリを書き換え、Safariにその仕事をやってもらうように、しなければならない。