Google Play でサードパーティー製の音声通話録音アプリが 5 月 11 日以降禁止となることが明らかになった (Ars Technica の記事、 9to5Google の記事、 Android Police の記事、 The Register の記事、 動画)。

変更は 4 月 6 日に公開された Google Play デベロッパープログラムポリシー更新に含まれていたのだが、「Accessibility API は、リモート通話の音声録音用には設計されておらず、そのようなリクエストを受けることもできません。」とのみ記載されており、対象が明確になっていなかった。

しかし、Google が 20 日に YouTube で公開した「Google Play Developer Policy Updates — April 2020 (ママ)」によると、対象となるのは音声通話の相手に知らせず録音することで、録音のために Accessibility API を使用するすべてのアプリは 5 月 11 日以降禁止されるという。

一方、端末にプリインストールされたデフォルトのダイヤラーアプリは通話相手の音声ストリーム取得に Accessibility API を必要としないため、対象外とのことだ。

すべて読む | ITセクション | Google | ソフトウェア | IT | Android | プライバシ |

関連ストーリー：
Google、長期間更新されていないアプリにアクセスしにくくするGoogle Playポリシー改訂 2022年04月09日
デスクトップ版Chromeで自動字幕起こし機能が利用可能に 2021年03月21日
Google、視線でフレーズを選択して読み上げさせるAndroidアプリ「Look to Speak」を公開 2020年12月12日
Google、音声文字変換アプリに音検知通知機能を追加 2020年10月10日
Google、Androidアプリでのユーザー補助サービス使用条件を緩和か 2017年12月10日
Google、一般ユーザー向けAndroidアプリでユーザー補助サービスの使用を禁止する方針か 2017年11月17日

Oracle が 4 月のアップデートで修正した Java SE と GraalVM Enterprise Edition の脆弱性 (CVE-2022-21449) について、発見した ForgeRock の Neil Madden 氏が英 BBC の SF ドラマ「ドクター・フー」に登場する「サイキックペーパー」にちなんだ「Psychic Signatures」と名付けている (Madden 氏のブログ記事、 Ars Technica の記事、 The Register の記事)。

ドクター・フーのサイキックペーパーは白紙のカードだが、相手に見せたい任意の内容を表示できるというもの。一方、Psychic Signatures 脆弱性は楕円曲線デジタル署名アルゴリズム (ECDSA) 署名検証の脆弱性により、攻撃者が「白紙」の署名を使用して容易に認証をバイパスできるというものだ。

具体的には ECDSA 署名を構成する 2 つの値 (r、s) はいずれも 0 であってはならないが、影響を受けるバージョンの Java が実装する署名検証ではこれらの値が 0 でないことを確認しない。そのため、攻撃者は両方の値を 0 にした署名を作ることで、任意のメッセージと任意の公開鍵に対する有効な署名として利用できる。

Oracle では影響を受けるバージョンを Java SE: 17.0.2 / 18、GraalVM Enterprise Edition 21.3.1 / 22.0.0.2 としているが、サポートの終了した Java SE 15 /16 にも脆弱性は存在する。OpenJDK では影響を受けるバージョンを 15 / 17 / 18 としている。なお、この脆弱性の CVSS スコアを Oracle が 7.5 と評価するのに対し、ForgeRock では満点の 10.0 と評価しているとのことだ。

すべて読む | デベロッパーセクション | セキュリティ | バグ | Java | 暗号 |

関連ストーリー：
Authenticode 署名検証の古い脆弱性、最近のバンキングマルウェアキャンペーンで使われる 2022年01月08日
Microsoft、1月のセキュリティ更新プログラムで米NSAから報告された脆弱性を修正 2020年01月18日
Bluetoothの実装に脆弱性、AppleやIntelの製品に影響 2018年07月26日
ドクター・フーのソニック・スクリュードライバー、実現に一歩近づく 2012年05月03日
Doctor Who のソニックスクリュードライバーが現実に ? 2010年12月13日
OpenSSL 1.0.0リリース 2010年04月02日
200 台の PS3 で 112 ビット楕円曲線暗号の解読に成功 2009年07月16日

日本向けのサポート記事にはまだ反映されていないが、Apple が「macOS Server」アプリケーションの販売を 21 日に終了したと発表した (米国向けサポート記事、 Ars Technica の記事、 9to5Mac の記事、 The Register の記事)。

Apple は Mac ユーザーが主要なサーバー機能を追加料金なく利用できるよう macOS Server から macOS へ機能を移動するとともに、macOS Server ではオープンソースサービスの削除を進めてきた。これにより、macOS Server 5.12 以降に組み込まれているサービスはプロファイルマネージャと Open Directory のみになっている。既存の macOS Server ユーザーは引き続きアプリをダウンロードしてmacOS Montereyで利用できるが、プロファイルマネージャに関しては他の MDM ソリューションへの移行を促している。

すべて読む | アップルセクション | スラッシュバック | MacOSX | アップル |

関連ストーリー：
次期MacBook ProでのTouch Bar廃止・MagSafe復活の噂 2021年01月20日
Apple、iTunesに代わるWindows向けメディアアプリの開発を計画か 2019年11月23日
AppleがWWDCでiTunesアプリ廃止を発表するとの報道 2019年06月02日
Autodesk、macOSのOpenGL廃止を受けて一部製品のmacOS版を廃止へ 2018年08月04日
Apple、Mac用32ビットアプリケーションのサポート終了の警告を開始 2018年04月16日
Apple、サーバーOSの主要機能をmacOS Serverから削除する計画 2018年02月01日
Apple曰く、ヘッドホンジャックの廃止は「勇気のいる判断」 2016年09月12日
「macOS Sierra」発表、「OS X」から名称変更に 2016年06月14日
Mac OS X "Lion" からは Samba が削除される ? 2011年03月25日

ブロックチェーンワレットアプリの MetaMask は 18 日、アプリのデータを iCloud にバックアップした場合の危険性について注意喚起した (HackRead の記事、 9to5Mac の記事、 MetaMask のツイート)。

これは Apple を名乗る電話を受けた MetaMask ユーザーが Apple ID パスワードリセットの確認コードを教えてしまい、総額 65 万ドル相当の暗号通貨や NFT を失ったという報告を受けたものだ。

MetaMask によればアプリデータの iCloud バックアップにはパスワードで暗号化された MetaMask 保管庫データが含まれ、パスワードの強度が低い場合はフィッシングで iCloud の認証情報が奪取されると資金を盗まれることになるという。

しかし、ワレットの鍵であり、MetaMask が保存しないと説明しているシードフレーズが実際にはファイルに保存されていたとの指摘もあり、被害にあったユーザーは無断保存を批判している。

すべて読む | セキュリティセクション | セキュリティ | バグ | 暗号 | お金 |

関連ストーリー：
App Store での成人向けアプリインストール、14 歳として登録された Apple ID でもブロックされない 2021年08月29日
宅配業者を装ったSMS詐欺が増加。Apple IDとパスワードを取られると対処が困難 2021年06月30日
「連打」で不正に引き出せる不具合を使って仮想通貨「モナコイン」を詐取した少年が書類送検される 2019年03月15日
カナダの仮想通貨取引所、コールドウォレットを管理していた創業者が死亡し200億円相当の仮想通貨が引き出せなくなる 2019年02月09日
仮想通貨取引所コインチェック、不正アクセスによって約580億円相当のNEMが引き出される 2018年01月29日
中国訪問経験者のiCloudデータ、中国サーバに移動する恐れ 2018年01月16日
仮想通貨マイニングプール「NiceHash」、システムが乗っ取られ約76億円相当のビットコインが盗まれる 2017年12月11日
iOSで突然表示されるログインポップアップにご注意を 2017年10月11日
BGPハイジャックでビットコインの採掘結果を奪う攻撃、攻撃者は83,000ドル以上の利益を得る 2014年08月11日

米疾病予防センター (CDC) は 20 日、連邦地裁がマスク義務付けを無効と判断した裁判の控訴手続きを進めるよう司法省 (DOJ) に要請したことを明らかにした (ニュースリリース、 Ars Technica の記事)。

連邦地裁では根拠となる法律の適用対象にならないこと、適切な意見募集を行わなかったこと、マスクを着用すべき適切な理由を説明していないことを理由にマスク義務付けの取り消しを命じている。一方、CDC は引き続きインドアの公共交通機関でマスク着用を推奨しており、義務付けを継続する必要があるかどうかの評価も続けていく。

CDC では人混みや換気の悪い空間でのマスク着用は感染防止に効果があり、よくフィットするマスクで鼻と口を覆うことは免疫力が低下した人やまだワクチンが接種できない人を含め、着用者と周囲の人々の両方を守ることができると説明。マスク義務付けは公衆衛生を守るという CDC の権限の範囲内であり、合法的だとの見解を示している。これを受けて DOJ は控訴の手続きを開始したとのことだ。

すべて読む | YROセクション | 検閲 | YRO | 法廷 | 医療 | アメリカ合衆国 |

関連ストーリー：
米連邦地裁、公共交通機関利用時のマスク義務付けを取り消すよう命ずる 2022年04月21日
米 CDC、人口比にして 70 % 以上の地域で COVID-19 対策のマスク着用を必須としない新ガイドライン 2022年02月27日
米 CDC、COVID-19 ワクチン完全接種済みの人にもデルタ変異株対策としてマスク着用を再び推奨 2021年07月31日
米CDC曰く、COVID-19ワクチン完全接種済みなら感染防止対策なしでパンデミック前と同じアクティビティが可能 2021年05月16日
米CDC、静かに呼吸している感染者の呼気も新型コロナウイルスの感染源になる可能性に言及 2021年05月09日
米CDC曰く、COVID-19ワクチン完全接種済みなら人込み以外の屋外アクティビティでマスク不要 2021年04月29日
米CDC、不織布マスクの装着に工夫する動画を公開。フィットするのに呼吸しやすい 2021年04月24日
米CDC曰く、COVID-19ワクチン接種済みの人は米国内を安全に旅行できる 2021年04月05日
米CDC、COVID-19ワクチン完全接種済みの人向けの公衆衛生ガイダンスを公開 2021年03月12日
米テキサス州がマスクの着用義務を10日に解除へ。商業活動も再開 2021年03月05日
米CDCのCOVID-19拡大防止に関するガイダンス改訂、ある程度は布製マスクが着用者の感染も防ぐ 2020年11月18日
ドナルド・トランプ米大統領、公の場でマスクを着用した姿を初めて見せる 2020年07月14日
米疾病予防センター、COVID-19感染拡大を防ぐため布製マスクを推奨 2020年04月05日