Apple、開発者が正当な理由がある場合にのみ使用できる API をリストに掲載
ユーザーのプライバシーを高めるため、Apple はアプリ開発者に特定の API を使用する理由を宣言することを求めています。
による
フリップボード
レディット
ピンタレスト
ワッツアップ
ワッツアップ
Eメール
不要なデータ収集を防止してユーザーのプライバシーを高める取り組みの一環として、Apple はアプリケーション開発者に特定の API を使用する理由を宣言するよう求めています。
先月の開発者カンファレンスで初めて発表されたこの取り組みは、同社の開発者プログラムで禁止されている「フィンガープリンティングを通じてユーザーのデバイスに関するデータを収集するために悪用される可能性がある」小規模なAPIセットを対象としているとAppleは述べている。
悪用を防ぐため、Apple は開発者に対し、そのような API を使用する理由をアプリケーションのプライバシー マニフェストに含めることを要求し、API が意図された目的のみに使用されることを保証します。
「アプリまたはサードパーティ SDK は、これらの各 API の使用とその使用から得られたデータを正確に反映する 1 つ以上の承認された理由を宣言する必要があります。 これらの API とその使用から得られたデータは、宣言された理由にのみ使用できます」と Apple は説明します。
テクノロジー大手である同社は、アプリケーションの機能には宣言された理由を反映する必要があり、アプリ開発者はユーザーを追跡するために API や派生データを使用することは禁止されていると説明している。
このポリシーの対象となる API には、ファイルのタイムスタンプ、システムの起動時間、利用可能なディスク容量、アクティブなキーボードのリスト、およびユーザーのデフォルトにアクセスするために使用される API が含まれます。
この秋から、Apple は、アプリのプライバシー マニフェストに理由を記載せずに、そのような API を使用するアプリケーションを送信または更新する場合、開発者に通知する予定です。
2024 年以降、すべての新しいアプリケーションまたはアプリの更新では、API の使用を反映するために、プライバシー マニフェストに承認された理由を含める必要があります。 Apple は、このポリシーはサードパーティ SDK の API にも適用されると発表しました。
Apple は、必要な理由 API のリストと、承認された理由を宣言するために開発者が行う必要があることの詳細の両方を公開しました。
対象外の理由で「アプリを使用する人々に利益を提供する」ために必要な理由 API を使用するアプリケーションの開発者は、承認された理由でリクエストを送信するために Apple に連絡することをお勧めします。
関連している:Apple、2022年にApp Storeから170万のアプリケーションをブロック
関連している:Apple、「Operation Triangulation」攻撃で悪用された別のカーネル欠陥にパッチを適用
関連している:セキュリティ会社が新たな種類の脆弱性を公開したため、Apple がアドバイザリーを更新
Ionut Arghire は SecurityWeek の国際特派員です。
SecurityWeek 電子メール ブリーフィングを購読して、業界の専門家による洞察力に富んだコラムとともに、最新の脅威、トレンド、テクノロジーに関する最新情報を入手してください。
セキュリティの専門家と一緒に、サイバー リスクの軽減とビジネスの強化の両方を実現する ZTNA の未開発の可能性について話し合います。
ソフトウェア サプライ チェーンを保護するための新しい戦略を紹介するウェビナーに Microsoft と Finite State にご参加ください。
SEC のサイバーインシデント開示規則が施行されると、組織はセキュリティリーダーにテーブルの席を与えることを真剣に検討せざるを得なくなるでしょう。(Marc Solomon)
リモート勤務は定着しており、企業は引き続き基本的なコミュニケーション形式が適切に設定され、セキュリティが確保されていることを確認する必要があります。(Matt Honea)
分散クラウド環境の複雑さと課題により、多くの場合、複数のインフラストラクチャ、テクノロジー、セキュリティ スタック、複数のポリシー エンジン、複数のコントロール セット、および複数の資産インベントリの管理が必要になります。(Joshua Goldfarb)
自動セキュリティ制御評価は、セキュリティ制御の存在を単に確認するのではなく、セキュリティ制御の適切で一貫した構成を検証することにより、セキュリティ体制を強化します。(Torsten George)
コンテキストは全体像を完成させるのに役立ち、セキュリティ チームが情報に基づいた意思決定をより迅速に行うために使用できる実用的なインテリジェンスをもたらします。(Matt Wilson)
