Android の審査のざる加減 と Simeji プライバシーロックのその後
仕事で、Android アプリを作って公開、更新をしてみたのだが驚いた
同じアプリを iOS で開発したときは、審査から公開まで 3日かかったのだが、Android は1日だった。(もしかすると数時間だったのかもしれない)
そして、驚いたのが、アプリケーションの更新を行ったところ、わずか数秒で最新バージョンが公開されたことだ。
アクセス制限については変更加えてないんだけど、APIの対応範囲とか変えて、利用ライブラリが変わらない範囲でコードを変更した程度。
|。・ω・) 。o (ひょっとして、一度、マルウェア向けに、アクセス権とライブラリだけ予約したダミーのアプリ作っておいて公開して、審査が通った後、人気が出てきたところでマルウェア仕込んだら、瞬時に審査通っちゃうんじゃね?)
#そう、すべてを感染させるソリューションがある。Androidにはね
「Simejiプライバシーロック」について | バイドゥ株式会社
すっかり、忘れてたけど、Baidu から追加でお知らせ来てた。
| <追記>11月17日 15:30
調査の結果、以下の事項を確認しました。 「Simejiプライバシーロック」において使用されていた共有コードは「Push SDK」という開発キットであり、「Moplus SDK」とは別個のSDKです。 「Push SDK」とは端末アプリにプッシュ通知を行うため、中国のバイドゥ本社がAndroid開発者向けに提供しているアプリ開発キットです。 「Push SDK」についての詳細情報は、以下のURLをご参照ください(※中国語ウェブサイトでの説明です)。 「Simejiプライバシーロック」において判明した脆弱性は、Push SDK(ver4.5)の使用に起因するものとわかりました。バージョン4.5以前のPush SDKは「Moplus SDK」の一部の機能を利用していました。そのためコードの一部に「MoPlusService」等の文字列が使われている箇所がありました。Push SDK バージョン4.5は、Moplus SDKと連携しません。 また、既にお知らせしております通り、「Simejiプライバシーロック」にMoplus SDKは使用されておりません。 今回当該アプリに含まれていた問題点をご指摘、ご報告くださった開発者様には、心より感謝申し上げます。 |
|。・ω・)。o (うん、全然関係ないわけじゃなかったやん。完全に連携してないのはコード見ればわかったよ )
Simejiプライバシーロック~アプリ、写真などをガード!~ - Google Play の Android アプリ
| 【バージョン2.0.1.63について重要なお知らせ】 Simejiプライバシーロックを検証した結果、にMoplusSDKは使用されていませ んでしたが、アプリの機能と無関係なMoPlusという記述が含まれていたことを確認したためその部分を削除いたしました。本記述が含まれた経緯と詳細に ついては現在調査中ですが、「Simejiプライバシーロック バージョン2.0.1.63」をご利用中の方は今すぐ脆弱性に対応した本最新バージョンにアプリを更新してください。 |
私は、アプリサイトの説明文にしっかりかくのがBaiduの義務だと思うんだけど、なんでやらないんすかね?
『リンク貼ってるから、いい』って?いや、Androidでわざわざリンクってなかなか開かないのが普通のユーザーですよ。重要な情報は直接PlayStoreに書くのが最低限のマナーだと思います・ω・
#最初に、使った覚えがないから、無関係の文字って断言するんじゃなくて、MoPlus って文字列が見つかった時点で、『MoPlus SDKは利用していないのですが、文字列との関連性、原因を調査します』って書いておいてから、ちゃんと調べて報告出していればよかったんだよ。ほんと
| ・Android 4.0.3で障害通史表示がネットワーク状態に問題を引き起こす緊急の修正 ・幾つかの長いセッションを張り、これが再接続をするときにバグを引き起こす可能性を修正しました |
Translate
Comments