信頼されていない（Apple公式ギャラリー外の）iOSショートカットのインストール方法

iOSショートカットは、iOS13バージョンからセキュリティ意識が高まり、iOSの設定を変更しなければ配布されているショートカットをインストールすることができません。

この記事では、その設定方法と設定した意味を解説していきます。

設定変更方法

1）ショートカットAppを開いたら右下「ギャラリー」から適当なショートカットをインストールします

2）「設定」アプリを開き→「ショートカット」→オフになっている「信頼されていないショートカットを許可」をオンに

3）確認がでるので許可をタップ

4）パスコードが要求されるので入力で完了

これで以降、野良配布のショートカットもインストール可能になります。

信頼されていないiOS「ショートカット」とは？

信頼されていないショートカットというのは、ショートカットアプリ右下にあるApple公式の「ギャラリー」に掲載されていないすべてのショートカットを指します。

ギャラリーにあるのは、基本的にApple公式が作ったものだけだと思われます。公式に掲載を申請する方法などもとくに見当たらないので。

つまり、ショートカットは誰でも作って公に配布できますが、Apple以外の人がつくったものすべてが信頼されていないショートカットという扱いになります。

iOSショートカットの「アクセス許可」について

ショートカットAppのセキュリティとして、iOS13バージョンからは、外部から入手・インストールしたショートカットについて、内部アクションで利用されている「ファイル」「写真」「クリップボード」「連絡先」「URL」等へのアクセスに対して、1つ1つ初回の実行時に許可が問われます。

そして、セキュリティ的に最も重要視するのはURLのアクセス許可です。

「写真」「連絡先」等のアクセス許可と、「見知らぬURL」のアクセス許可が問われた場合は要注意です。一旦、そこで停止して導入をやめてもいいです。

これは一概には言えないところがありますが、そういう動作をする予定じゃなさそうなショートカットにおいて求められた場合は、特に注意です。

（※なお、「写真」のアクセス許可は、「読み取り」利用だけではなく、「保存」先としての利用でもまったく同じ内容で許可を問われるため、どちらかの判別はそのショートカットの中身を見ない限りわかりません。）

このあたり、さらに詳しくは、野良ショートカットインストールにおけるセキュリティについての以下記事をご覧ください。

iOS14.3以降の「URL」のアクセス許可メッセージの変更について

iOS14.3のiOSショートカットAppから、URLのアクセス許可のメッセージが変更となりました。

「パスワード、電話番号、クレジットカードなどの機密情報の読み取りも含まれます」と、かなり語弊のある書き方がされています。以下は、ユーザーさんに教えてもらったツイートです。👇

ios14.3ですね。
メッセージ的にはあくまで開いてる対象ページなので大丈夫かなとは思いましたが、このご時世なので気になりはしますね。
素敵なショートカットありがとうございます。
今後も活用させていただきます。 pic.twitter.com/fUNKQIVpWO
— ka2umyu (@ka2umiu1) December 17, 2020

iOSショートカットに、端末のパスワードやクレジットカード情報にアクセスできる権限はありません。

このメッセージの意味は、ユーザーが"能動的"に、詐欺ショートカットに上記に当たる情報を入力したり、連絡先へのアクセスを許可してしまった上で誰かを選択、さらに「見知らぬ詐欺サイトURLへの送信」を許可してしまった場合の話です。

自身で詐欺ショートカットに、パスワードやクレジットカード番号や電話番号・住所などを入力した場合は、それは盗人に情報を自ら教えてることになるので、当然、読み取られてしまいます。

フィッシングサイトに情報を入力するのと同じことですね。この注意メッセージはそういうことを言っています。

よくわからない人には「え・・？」ってなる、「読み取り」という書き方がよくないですね。端末から自動で読み取れるように読めてしまうので。「入力した情報を読み取ることができます」とかならまだわかりますが。

URLアクセス許可で対象URLをよく確認すればOK

URLアクセスを利用しているiOSショートカットは、初回実行時にURLのドメイン（youtube.comとか）へのアクセス許可が問われるので、そこで見知らぬ怪しいURLじゃないかを気をつければ、まず大丈夫だと思います。

この「URLアクセス」以外に、外部に暗黙に情報を送信する手段はiOSショートカットにはありません。

ショートカットではメールを作成することもできますが、その場合メール画面が立ち上がるので宛先が怪しければ、まず気がつきます。

そのショートカットが謳う機能の中で、まず使う必要がなさそうな「連絡先」や「写真」等へのアクセス許可が問われたら、安全のために一旦止めてしまってもいいですね。

iOSショートカットはソースが丸見え

基本的に、iOSショートカットは簡易プログラム的なツールですが、中の処理ソースは誰でも見られる状態です。なので、情報を盗むような下手なマルウェア動作をするようなものが配布されていたら、識者によりすぐ指摘されるはずです。

それでは。