http://takagi-hiromitsu.jp/diary/20130129.html
スマホの人気アプリを真似て、「元タイトル the Movie」というアプリを作り、実行したら電話帳の中身を盗んでサーバーにアップロードする。というアプリが一時出回った。
これが不起訴になったとのこと。
　
これ自体は、引っかかるやつが無知なのか、無知に付け込んだ詐欺師が悪いのか、と問われれば、当然詐欺師が悪いわけだ。
まぁそれは置いておいて。
　
アプリには「パーミッション」と呼ばれるものがある。
日本語で言うと権限。
「アプリが電話帳を読み取る権限」「アプリがインターネット通信をする権限」といった具合に、いくつかの権限がある。
これらは利用者の同意が無ければ使えない。
例にあげた2つの権限を組み合わせれば、電話帳の中身をインターネット通信を通して盗むことが可能なわけだ。
注意されたし。
　
さて、この問題。以前も書いたがガラケーでは起きえなかった。
なぜなら「アプリが電話帳から読み取ったデータ」は、いかなる方法をもってしてもインターネット通信で発信することができないように、非常に固く守られていたためだ。
iアプリを作った人の中には、XStringというものをご存じな方もいらっしゃることだろう。
電話帳のデータはXStringに格納され、このXStringは通信での送信が禁じられている。
　
「あれ？じゃあ読み取ったデータを、アプリは何になら使えるの？」
画面への描画や、そのメールアドレスを使っての新規メール作成画面で「メール機能」を立ち上げるなどのことに使えた。
　
「あれ？画面へ描画した後、その画面をアプリが『画面をドット単位で読む取る機能』を使うことで、単なる文字データとして入手できて、そこから通信に載せられちゃうんじゃ？」
ご安心を。XStringが描画した『画面』は、『画面をドット単位で読み取る機能』で読み取れなくなる。
　
技術屋として上司から「セキュリティー的にグレーだが、非常に商売として有効なこと」が技術的に可能かを聞かれる。
そのたびに私は言う。
「そんな悪戯ができるなら、私がとっくにやってますよ。あきらめてください」
わりと有効なようで、あっさりと引き下がってくれる。