「実はそうじゃないんです!」の新たな回が始まりました。これはマカロープが作り上げたゲーム ショーで、テクノロジー ジャーナリストが「間違っている」ことを示す「事実」を指摘します。
今回の出場者は、Network World の John Cox 氏です。
Appleは、著名なセキュリティ研究者のチャーリー・ミラー氏を同社の開発者プログラムから追放した。ミラー氏は、一見無害なiOSアプリを作成したが、実際には同氏がファームウェアで発見したセキュリティ上の欠陥を悪用するように設計されていたためである。
実は違います!Appleは、ミラー氏をApple開発者契約の利用規約違反で1年間利用停止処分にしました。実際、彼は違反しました。この単純な事実は否定できません。つまり、人々が不満を漏らしているのは、現実の世界とは全く関係がないということです。それは、彼らが世界はどうあるべきだと考えているかという観念に関係しているのです。
コックスは第3段落で真実に近づいています。
グリーンバーグ氏のその後の報道によれば、Apple にはそうする権利があったことは明らかだ。
右。
ZDNetでは、ライアン・ナレイン氏が、ジョブズ氏の後もアップルは「より親切で、より優しく、よりオープン」になったわけではないとほくそ笑みながら賛同する形でリンクを貼っているが、同氏はミラー氏が開発者プログラムから排除された理由については簡単に触れていない。
チャーリー・ミラー氏は、ハッキングスキルを駆使してMacBookやiPhoneに侵入し、Appleのセキュリティメカニズムを破ることに情熱を燃やしている。しかし、コード署名メカニズムのバイパスを実証する概念実証版iPhoneアプリを開発したという情報が広まったため、Appleは彼をiOS開発者プログラムから追放した。
ただの遊びだったのに!そしたら、あの男が彼を襲った!
ナレイン氏の記事をざっくり読むと、ミラー氏が脆弱性を発見したために解雇されたと誤解する人もいるかもしれない。実際、ミラー氏自身はAppleが脆弱性の存在を認めたと述べているにもかかわらず、コメント投稿者の中にはAppleが脆弱性の存在を「否定」していると嘆く者もいる。
Naraine の ZDNet クリスマス パーティ参加者仲間の Adrian Kingsley-Hughes は、その点を正しく理解しています。
さて、Appleがミラー氏の開発者アカウントを凍結し、アプリを削除したのは正しい対応と言えるでしょうか?答えはイエスです。このアプリは悪意のあるコードは含んでいないものの、深刻なセキュリティ上の抜け穴を意図的に悪用し、端末に悪意のあるペイロードをダウンロードする可能性があるため、依然としてマルウェアです。このような行為はAppleの開発者利用規約に違反しており、Appleがミラー氏を追及する十分な理由となっています。
簡単でしょう? あるいは、Appleの厳格な対応に怒りを煽り、自社製品の失敗などにも耐えられないと訴えることもできます。
ミラー氏は自身のツイッターアカウントで、ケーキを食べてそれをまた手に入れたいというひどい欲求に陥っているようだ。
まず研究者に開発者向けプログラムへのアクセスを許可する(私は自分の分は払っているのに)のに、研究を理由に追い出される。腹立たしい。
マカロープ氏は、問題を抱えた若者(いわゆる「ホワイトハット」ハッカー)向けのAppleのアウトリーチプログラムについて完全には把握していないが、それが同社の顧客から個人情報を勝手に収集していいという許可証ではないことはほぼ確信している。ミラー氏の指摘は、ゲートキーピングをテストできなければシステム全体をテストすることはできないというもので、これは理にかなっている。Appleがセキュリティ研究者を招いてテストを行う目的がiOSのセキュリティ強化にあるとすれば、後輪だけをテストすることはできない。そして、ミラー氏は過去にAppleの脆弱性発見に貢献してきた。
同時に、彼は開発者ライセンス契約に署名し、その後それを違反しました。Appleが彼を開発者プログラムから排除することが完全に合理的であるというさらなる証拠が必要なら、ロブ・エンダール氏がそれを賢明な判断だとは考えていないという事実を知れば十分でしょう。
QED。事件は解決しました。
ワッツ・マーティンは適切な例え話をしています。
空港のセキュリティチェックポイントの欠陥を見つけたと思って、無害な発煙弾を通過させてギフトショップで爆発させることでそれを証明すれば、間違いなくあなたの主張は通ったことになります。しかし、空港の警官があなたのところに駆け寄ってきて、握手したり花やチョコレートを浴びせかけたりする代わりに棒であなたを殴りつけたときに、私たちがショックを受けて驚くような表情をするのはやめてください。
どうやら、コンピューター セキュリティのビドネズ (モットー: 「やあ、これは素晴らしいオペレーティング システムだ!これに何か起きたら残念だ。」 [smash]) のメンバーとそのブロガー仲間は、神の仕事をしているので契約上の義務を免除されるという考えのようです。
マカロープは、ミラー氏がエクスプロイトを発見し、それを公表したことに何ら反対していません。彼はアプリの承認を得るために行った行為にさえ反対していません。エクスプロイトのテストは他の方法もあることは確かですが、承認プロセスをテストする唯一の方法は、承認のために何かを提出することです。
それでも、ミラー氏はここでのルールを理解していた。特に、自ら開発者ライセンスを支払っていたからだ。研究者が実環境でテストを実施するために必要なアクセスを確保する方法を見つけることは、Appleにとって最善の利益となるだろう。しかし、チャーリー・ミラー氏へのひどい仕打ちに涙を流すのはやめよう。
[編集者注:マカロープは神話上の獣であるだけでなく、 Macworldの従業員ではありません。そのため、マカロープはあらゆるメディア組織を批判する自由を有しています。たとえ私たちのメディアであってもです。 ]
