TuTu AppとNesstoolは本当に安全なのか
前の記事で、TuTu AppとNesstoolを用いて野良アプリをインストールする方法、及び「7日間問題」(インストールしても、証明書が7日間で切れてしまう問題)の解消方法を記載した。
https://webnetforce.net/nesstool/ただし、この方法はセキュリティ上のリスクが当然ながら存在する。どのようなリスクが考えられるか、この記事にまとめておこう。
Nesstoolの仕組み
NesstoolはオンデマンドVPN=通信時には常にONとなるVPNを作成する。
そして、端末の通信は全て一度Nesstoolに入り、Nesstool側では、Appleの認証サーバーへのアクセスをブロックするようにしている……というのが私の仮設である。
通信がNesstoolを経由することの問題
Nesstoolが形成するVPNはオンデマンド接続となっており、通信がされている際は基本的にこのVPNを経由する形となっている。つまり、発生する通信全てが一度Nesstoolを通るのだ。Nesstoolは、見ようとおもえばこんなことを見る事が出来る。
「VPNだから問題ない」という誤謬とNesstoolが把握出来ること
ネット上には「VPN接続であれば、暗号化されているため問題ない」なる意見も存在しているが、このVPNは端末通信とNesstoolの間に貼られている。そして、当然のことながら、Nesstool側ではVPNをほどくことが可能だ。そして、ほどくことによって、おそらくAppleの証明書管理サーバーへのアクセスを、ホスト名によってブロックしている。
つまり、接続先ドメインや通信量は、Nesstool側では全て把握することが可能なのだ。これは、adblockなどが行っている手法と同じものである。
HTTPS接続でないアプリの場合、通信内容も見ようと思えば見ることが可能
さらにいえば、仮に本来の通信先がSSL等で暗号化されていない場合には、情報がこのアプリに筒抜けとなってしまう。
使用しているアプリが平文で通信を行っている場合には、通信内容を読み取られる可能性があることを念頭に置く必要があることは間違いない。
NesstoolとTuTu Appを利用することは、一定のセキュリティリスクが存在する。その点を考慮した上で、このツールを使用するかどうかを判断すべきだ。