Saurik 氏 (Jay Freeman 氏) は、脱獄コミュニティの懸念する開発者から心配なニュースを受け取った後、木曜日に Cydia ストアに関する難しい決断を迫られました。
Andy Wiik 氏がプラットフォームで発見した重大なバグにより、ユーザーが PayPal アカウントにリンクされた Cydia アカウントにログインし、アプリ内で潜在的に悪意のあるサードパーティのリポジトリを閲覧している場合、ユーザーの PayPal アカウント経由で任意の Cydia ストア パッケージを購入できる可能性がありました。
この問題をできるだけ早く解決するため、SaurikはCydiaストアでの購入を無効化しました。そのため、BigBossなどのデフォルトリポジトリからパッケージを購入できなくなりましたが、以前購入したアドオンには引き続きアクセスできます。
特に、Cydia を引き続き使用および閲覧し、Packix、Chariz、Dynastic Repo などのサードパーティのリポジトリから購入することは可能です。これらのリポジトリは「信頼できる」とみなされ、独自のカスタム方法 (PayPal を含む) で支払いを処理します。
正確に言うと、個人情報は一切漏洩していません。つまり、PayPalアカウントのパスワードを変更する必要はありません。Cydiaストアでの購入は正式に無効化されたため、今後、不一致が発生することはないはずです。
Saurk氏は木曜日の午後、/r/jailbreakでこの件に関する公式回答を発表しました。全文は以下をご覧ください。
Cydia にログインして使用しながら、信頼できないコンテンツを含むリポジトリも閲覧しているのでない限り (ちなみに、Cydia ではこれを避けるのは難しいです <- このエコシステムに関する悲しい事実は理解できますが、ランダムなリポジトリのインストールには注意する必要があることがユーザーには明確に示されていませんでした)、これは「問題ではありません」。 Cydia にログインするのは、何かを積極的に購入する場合や有料購入をダウンロードする場合のみであり (Cydia はソフトウェアのセキュリティ機能として意図的に、アプリを閉じてもログイン トークンをキャッシュしません)、事実上、誰も何も購入しなくなっているため (複数の理由、多数の理由により)、この問題は、非常に曖昧な言い方で述べられているにもかかわらず、ごく少数のユーザーに影響します。これは、おそらく意図的に最大限の混乱と大混乱を引き起こし、「脱獄せずにこれを行うにはどうすればよいか」という質問につながるためです。脱獄していない場合は、これについて心配する必要はありません。
特に、この脆弱性はデータ漏洩ではありません(一部の人が疑問に思っているように、Nullpixel からの漠然とした苦情を考えると、完全に正当な考えです。つまり、何らかの理由で PayPal 認証トークンへのアクセスを失い、他の誰かがあなたの PayPal アカウントからお金を引き出すことができると推測されますが、これは今日直面している問題ではありません)。また、実際に Cydia をもう使用していないのであれば、わざわざトークンを無効にする必要はまったくありません。これは「のみ」 (これはまだ深刻な問題なので引用符で囲みます... これが実際にまだ誰かによって使用されている製品である場合 ;P)、現在 Cydia にログインしているユーザーに購入を強制する機能です。現時点で私が知る限り、Cydia アカウントの情報に関する懸念はありません。
実のところ、私は年末までに Cydia ストアを完全に閉鎖したかったのですが、報告を受けてスケジュールを前倒し (今週末に) することを検討していました。このサービスは私に金銭的な損失をもたらし、維持することに熱意を持てるものではありません。健全なエコシステムの重要な構成要素であり、しばらくの間はエコシステムを維持するための少数のスタッフの資金に役立っていましたが、私の正気を著しく損なうことになり、利益と売上の仕組みを意図的に誤解していたために、多くの人々から不当に嫌われることになりました。(そうは言っても、これを閉鎖しても、私が責任を負っているアーカイブされたリポジトリのホスティングに毎月数テラバイトの帯域幅が費やされ続けるなど、現在の私のコストの大部分が実際に軽減されるわけではありません。ありがたいことに、私は現在新しい仕事でこれらのコストをカバーするのに十分な収入を得ています。)
しかし、今朝NullpixelとAndy Wiikから何らかの対策を講じるよう強く求められたため、スケジュールを再考せざるを得なくなりました。そのため、Cydiaでの購入機能を即時停止することにしました。Cydiaの今後の展開については、より正式な記事をまとめ、来週中に公開する予定です。
サウリック氏は、以下に引用する別のコメントで、以前の購入を維持すると明言している。
既存のパッケージをダウンロードする機能を維持するつもりです。これにより、会計とバックエンドの実行の負担が、購入を許可し続けるよりもはるかに軽減されます。また、支払いコードを削除すると、セキュリティの面で支払いバックエンドで何か他のものを台無しにしてしまうことを心配する必要がなくなります。
これらすべてが混乱を招くように思われる場合は、Cydia とサードパーティのリポジトリを引き続き使用できることを再度強調しますが、この機会に、評判の良いサードパーティのリポジトリのみを使用することの重要性について、皆様に改めてお知らせしたいと思います。
怪しいサードパーティのリポジトリを追加して使用すると、支払い情報が漏洩するリスクが高まります。サードパーティのリポジトリの信頼性がわからない場合は、この包括的なサードパーティリポジトリのリストを参考にしてください。リストに掲載されているリポジトリは「信頼できる」「評判の良い」リポジトリです。
関係ない話ではありますが、Sileoパッケージマネージャーは現在開発中で、脱獄コミュニティの主要なパッケージインストーラーおよびリポジトリマネージャーとしてCydiaに取って代わることを目指しています。リリース時期はまだ発表されていませんが、Cydiaと同じリポジトリとパッケージにアクセスできるはずです。
Saurik さんが問題に迅速に対応してくれたことに満足していますか?ぜひ下のコメント欄でご意見をお聞かせください。
![Apple、iOS 5向けソーシャルネットワーク「友達を探す」をリリース [ビデオ]](https://image.milawo.com/kabmbfjj/38/98/Photo-2011-10-12-15-07-55-e1318425791606.webp)
