1分で読めます
| ニュース
人気の荷物追跡アプリ「Parcels」は、API 使用時のレート制限を回避しようとして、デバイスをボットネットに追加します ( 9to5Mac経由)。
[ DHL の荷物追跡でホリデーシーズンに備えましょう]
パーセルボットネット
App Storeで4.7つ星の評価を得ているParcelsは、荷物追跡の分野で人気のようです。Pavel Tisunov氏によって開発され、無料で利用できますが、オプションで年間3.49ドルまたは月額0.99ドルのサブスクリプションプランもあります。
Guilherme Rambo氏によると、アプリを起動すると、荷物を登録していなくても、すぐにサーバーへのリクエストの送信が開始されます。サーバーは他のユーザーからの荷物に関する情報を返します。これには、追跡番号、リクエストヘッダー、配送業者のAPIまたはウェブサイトのURLなどが含まれます。
本質的には、このアプリは荷物の追跡作業をサーバー側で実行する代わりに、ユーザーの帯域幅、電力、そして処理能力を活用して宅配業者のウェブサイトにアクセスし、配送状況の変更を取得し、それを他のユーザーに送信します。このアプリがインストールされているすべてのデバイスが基本的にボットとなり、アプリの他のユーザーの荷物を追跡するため、この種の動作はボットネットに分類されます。たとえ、現在のデバイスのユーザーが追跡対象の荷物を登録していなくてもです。
このアプリは、DDoS攻撃や中間者攻撃といった悪用につながる例が数多くあります。また、アプリ審査ガイドラインのセクション2.4.2では、アプリは無関係なバックグラウンドプロセスを実行できないと規定されています。他の荷物追跡アプリも同様の行為を行っているのではないかと懸念されます。
[ USPSでクリスマスパッケージを追跡する方法]
