野良ショートカットで唯一気をつけるところは、「写真」や「連絡先」「ファイル」など個人情報に近い内部アプリのアクセス許可+「見知らぬURL」のアクセス許可が合わさって確認された場合です。特に、後者が注意点として重要です。

「写真の取得/連絡先の取得」+「見知らぬURL」許可は要注意

ギャラリー配布でも、野良配布ショートカットでも、初回動作時には、内部で利用されている処理やURLアクセスに対して、セキュリティのため必ずアクセスを通していいかの許可が問われます。

ショートカットの内容を見ないと一概には言えませんが、以下はダメなパターンです(※実際にはこれは動作しません)👇

ショートカットの内部処理として「写真」「連絡先」「ファイル」等が「取得」で利用されている直後に、「変数」への格納ののち、または直、「URLの内容を取得」に繋げられているような場合、あなたのiPhoneに入っている写真が指定のURLにアップロードされてしまう危険性があります。(※あくまで悪意あるショートカットで、初回動作時にそれぞれのアクセスをすべて許可してしまった場合)

特に「写真」「連絡先」のアクションの中には、一度許可を通すと、以降、確認UIも出ずに全データを取得するアクションがあります。

その上で、怪しい見覚えのないURLのアクセスまで実装された外部ショートカットでURLアクセスを許可してしまった場合、以降ショートカットを実行する度に、暗黙のまますべての連絡先がそのURLに送信される・・・ということもできてしまいます。

画像のネットワークアイコンの「URLの内容を取得」は、アップロードにも使えるファンクションです。その呼び方に惑わされないようにしましょう。

不審なURLアクセスは一旦停止

データを盗もうとするにしても、ユーザーが「見知らぬURL」のアクセス許可を通さない限りは、盗みようがないのが安全網ですね。ユーザー側としては、不審なURLのアクセス許可が問われたら、そこで一旦止めれば安心です。

しかし、「写真」のアクセス許可は「保存」でも問われる

「写真」や「ファイル」のアクセス許可は、「取得」だけではなく「保存」利用の場合でも、全く同じ形で問われます。取得か保存利用かは、許可画面では区別が付きません。iOSショートカットの中の処理を見る必要があります。

2020.9.6にリリースしたうち開発の「Twitter画像・動画取得」iOSショートカットがそうですが、保存先として「写真」Appを利用しています。👇

「写真」Appを保存先に利用

iOSショートカットにアクセス許可を問われている画面

最初の保存時に
「写真」へのアクセス許可を問われる

「Twitter画像・動画取得」iOSショートカットの動作画面

iOSのショートカットで遊ぼう
「Twitter画像・動画取得」SC
サムネイル一覧から選択している画面

宣伝になりますが、こちらのショートカットを有償で販売しています。(※上画像ぼんやり中央に青丸があるサムネイルは動画)

推し絵師さんや、芸能人・アイドル・声優等、推しツイッターアカウントの、画像や動画をとっておきたい向きの人には、たぶん手放せないショートカットになっているかと思います。詳しくは以下の紹介記事をご覧ください。

まとめ

前述のように、「写真」のアクセス許可が取得利用か保存利用かは、中の処理を見ない限り判別はつきません。先に保存で許可をとって、あとで取得などもありえます。とりあえず怪しそうなiOSショートカットで、「写真」へのアクセス許可からの、見知らぬURLアクセス許可が問われたらそこで一旦停止し、一度中身をチェックしましょう。

そして一度不許可とした場合、以降そのSCを実行しても許可は問われず停止することになります。もし許可して問題なさそうとわかった場合には、SCの右上「…」で編集画面に入り、さらに右上「…」の詳細画面で許可することができます。

iOSショートカットのアクセス許可設定画面

iOSショートカットのアクセス許可設定画面

野良ショートカットも、このあたりを意識して見ていけば問題ないかと思います。

それでは(👀)


#記事のシェアはこちらから