http://news.mynavi.jp/news/2013/02/04/191/index.html ゲーム中の大停電やら、その後の49ersの猛追をかわしてのRavensの優勝など、なにかと話題だった
今年の「NFL Super Bowl XLVII」だが、このゲームのCMタイムでAppleの「AppStore.com」ドメインがひっ
そりとデビューして話題になっている。
同件はCNETなどが報じているが、Super Bowl中に流れた「Star Trek」新作映画のTV CMにおいて、映
画の詳細やチケットを求めるユーザーに対して「AppStore.com/StarTrekApp」のドメインにアクセスして
App StoreからiOS用アプリをダウンロードするよう求めるメッセージが表示されたという。
App StoreといえばAppleがiOSアプリの配信を行っているアプリストアの名称だが、その「AppStore.com」
というURLは初耳だ。そこで先ほどのURLをWebブラウザに入力するとApp Storeの該当ページへとリダ
イレクトが行われ、iTunesが開いて「Star Trek App」のページへと転送される。単に「AppStore.com」と入
力すると、そのままiTunesが開くだけだ。つまり、AppStore.comはリダイレクタの役割を果たしており、ス
ラッシュ記号の後に入力された文字列に応じてユーザーをApp Storeへと誘導する短縮URL的な役割を
果たしているとみられる。実際、主要なタイトルをAppStore.comのURLに入力すると、そのまま該当ペー
ジへと誘導された。
WHOISデータベースによれば、AppStore.comドメインはAppleがオーナーであり、URLを取得したまま長
らく一般公開されることなく保持されてきたもののようだ。今回、パートナーがマーケティングに同URLを
活用したことで、その存在が一般に明らかになった形だ。
米AppleがGoogleの研究者から問題を指摘されたことを受け、App StoreでHTTPSを有効にして通信を暗号化する措置を講じた。Googleの研究者エリー・バースタイン氏が3月8日に自身のブログで明らかにした。
バースタイン氏によると、AppleのApp Storeでは当初、通信の一部が暗号化されておらず、公衆無線LANなどを通じてトラフィックを傍受されたり制御されたりする恐れがあった。
具体的には、攻撃者がアプリケーションのアップデート通知の仕組みに介入し、虚偽の通知でユーザーをだまして不正にパスワードを入力させたり、ユーザーがインストールしようとしたアプリを差し替えて、攻撃者のアプリをインストールさせたりできてしまう恐れがあった。
また、偽の更新版をインストールさせたり、アプリのインストールを妨害したり、インストールされているアプリの一覧を流出させたりすることも可能だったとしている。
バースタイン氏は2012年7月にこの情報をAppleに提供。Appleは同氏らの指摘を受けて2013年1月の更新情報で「アクティブコンテンツはデフォルトでHTTPSを介して提供されるようになった」と報告し、問題を修正したことを認めている。
同氏のブログではそれぞれの攻撃について詳しい情報を記載した上で、モバイルアプリの開発者に対し、HTTPSを有効にして安全性を強化するよう促している。