UWPアプリが無許可でユーザーのファイルにアクセス--Windows 10にバグ発覚

Liam Tung (ZDNET.com) 翻訳校正: 編集部

2018-10-30 11:39

 Microsoftは、ファイル消失の問題を受けて提供を一時中断している、「Windows 10 October 2018 Update」(バージョン1809)で、あるバグをひそかに修正していた。アプリがユーザーの全ファイルへのアクセスを要求する際に、ユーザーに通知していないという問題が発覚したためだ。

 Windowsの「broadFileSystemAccess」APIで発見されたバグにより、「Universal Windows Platform(UWP)」アプリの悪意のある開発者は、ユーザーの文書、写真、ダウンロードのほか、「OneDrive」に保存されているファイルすべてに、アクセスできていたという。

 問題を発見したのは.NET開発者のSebastien Lachance氏。開発したエンタープライズ向けアプリが、Windows 10 October 2018 Updateをインストールした途端、クラッシュするようになり、この問題に気づいた。

 通常、UWPアプリはフォルダの特定の場所に限り、アクセスできるようになっているが、ユーザーがそのアプリに許可を与えれば、開発者は他の場所へのアクセスも要求できる。

 Microsoftのドキュメントに記載されているように、broadFileSystemAccess APIは、ユーザーがアクセス権を持つすべてのファイルに対するアクセスを提供する。Microsoftは、開発者がUWPアプリをよりユーザーフレンドリーにするためのものと謳っている。

 Microsoftはドキュメントで、「これは、制限付き機能です。最初に使うとき、システムはユーザーにアクセスを許可するかどうかを要求します。アクセスは、[設定] > [プライバシー] > [ファイル システム] で構成できます」と説明している。

 当該ドキュメントには「この機能を宣言するアプリを Microsoft Store に提出する場合、アプリでこの機能が必要となる理由およびこの機能の使用目的に関する追加の説明を提供する必要があります。この機能は、Windows.Storage名前空間のAPIで動作します」とも書かれている。

 問題はバージョン1809まで、許可を求めるプロンプトがユーザーに表示されず、開発者はこのAPIを使って、ファイルシステム全体にアクセスできていたことだ。

 Microsoftはこれがプライバシーに関する問題であることを認め、ファイルシステムに対する全体的なアクセスをオフに設定した。

 インストールしたアプリが、意図したよりも広範なアクセスを許可されているか不安なユーザーは、[設定] > [プライバシー] > [ファイル システム] で、アクセスを制限できる。

 なお、このAPIを以前使用していた開発者は、バージョン1809に移行後、UWPアプリがクラッシュする可能性があるという。

この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。

 

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ホワイトペーパー

新着

ランキング

  1. ビジネスアプリケーション

    生成 AI 「Gemini」活用メリット、職種別・役職別のプロンプトも一挙に紹介

  2. セキュリティ

    まずは“交渉術”を磨くこと!情報セキュリティ担当者の使命を果たすための必須事項とは

  3. セキュリティ

    マンガで分かる「クラウド型WAF」の特徴と仕組み、有効活用するポイントも解説

  4. ビジネスアプリケーション

    急速に進むIT運用におけるAI・生成AIの活用--実態調査から見るユーザー企業の課題と将来展望

  5. クラウドコンピューティング

    Snowflakeを例に徹底解説!迅速&柔軟な企業経営に欠かせない、データ統合基盤活用のポイント

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]