Mac App Storeで配布されているMacアプリはサンドボックスアプリとも呼ばれ、一部の機能が制限されるかわりに安全なアプリとして知られています。
しかし今回fastlane.toolsの創設者Felix Krause氏は、サンドボックスMacアプリがユーザーに対する通知になしにデスクトップのスクリーンショットを撮影可能で、セキュリティ上の問題が存在すると指摘しています(slashdot)。
アプリがターゲットのデスクトップのスクリーンショットを密かに撮影し、OCRソフトウェアなどを利用して、パスワードやメールの内容や各種機密情報を取得することができるとの指摘です。
具体的には以下のような簡単なコードでスクリーンショットが撮影可能で、取得した画像をOCR libraryを利用して処理することで、機密情報を抜き出すことができると説明されています。
CGImageRef screenshot = CGWindowListCreateImage(
CGRectInfinite,
kCGWindowListOptionOnScreenOnly,
kCGNullWindowID,
kCGWindowImageDefault);
NSBitmapImageRep *bitmapRep = [[NSBitmapImageRep alloc] initWithCGImage:screenshot];同氏はApp Storeのレビュープロセスの改善や、パーミッションダイアログの表示、スクリーンにアクセスが発生した際毎回ユーザーに通知を行うことなどの改善案をあげ、Appleのバグトラッカーraderにも登録しています。
今回の問題はサンドボックス外のアプリにもあてはまりますが、サンドボックスアプリの場合無条件に信頼しがちなので、上記のような制限があったほうが望ましいのかもしれません。
