UWPアプリが無許可でユーザーのファイルにアクセス--Windows 10にバグ発覚

　Microsoftは、ファイル消失の問題を受けて提供を一時中断している、「Windows 10 October 2018 Update」（バージョン1809）で、あるバグをひそかに修正していた。アプリがユーザーの全ファイルへのアクセスを要求する際に、ユーザーに通知していないという問題が発覚したためだ。

　Windowsの「broadFileSystemAccess」APIで発見されたバグにより、「Universal Windows Platform（UWP）」アプリの悪意のある開発者は、ユーザーの文書、写真、ダウンロードのほか、「OneDrive」に保存されているファイルすべてに、アクセスできていたという。

　問題を発見したのは.NET開発者のSebastien Lachance氏。開発したエンタープライズ向けアプリが、Windows 10 October 2018 Updateをインストールした途端、クラッシュするようになり、この問題に気づいた。

　通常、UWPアプリはフォルダの特定の場所に限り、アクセスできるようになっているが、ユーザーがそのアプリに許可を与えれば、開発者は他の場所へのアクセスも要求できる。

　Microsoftのドキュメントに記載されているように、broadFileSystemAccess APIは、ユーザーがアクセス権を持つすべてのファイルに対するアクセスを提供する。Microsoftは、開発者がUWPアプリをよりユーザーフレンドリーにするためのものと謳っている。

　Microsoftはドキュメントで、「これは、制限付き機能です。最初に使うとき、システムはユーザーにアクセスを許可するかどうかを要求します。アクセスは、[設定] > [プライバシー] > [ファイル システム] で構成できます」と説明している。

　当該ドキュメントには「この機能を宣言するアプリを Microsoft Store に提出する場合、アプリでこの機能が必要となる理由およびこの機能の使用目的に関する追加の説明を提供する必要があります。この機能は、Windows.Storage名前空間のAPIで動作します」とも書かれている。

　問題はバージョン1809まで、許可を求めるプロンプトがユーザーに表示されず、開発者はこのAPIを使って、ファイルシステム全体にアクセスできていたことだ。

　Microsoftはこれがプライバシーに関する問題であることを認め、ファイルシステムに対する全体的なアクセスをオフに設定した。

　インストールしたアプリが、意図したよりも広範なアクセスを許可されているか不安なユーザーは、[設定] > [プライバシー] > [ファイル システム] で、アクセスを制限できる。

　なお、このAPIを以前使用していた開発者は、バージョン1809に移行後、UWPアプリがクラッシュする可能性があるという。