Google Play で無害なアプリとしてリリース後、1 年近くたってマルウェア化したアプリについて、発見した ESET が報告している (WeLiveSecurity の記事、 Ars Technica の記事、 The Verge の記事、 The Register の記事)。

このアプリ「iRecorder - Screen Recorder」(Internet Archive) は 2021 年 9 月 19 日に Google Play で最初にリリースされ、2022 年 8 月頃にはバージョン 1.3.8 でマルウェア化していたという。当初は名前の通りデバイスの画面を録画するアプリだったが、その後カメラからのビデオ撮影機能なども追加されたらしい。

マルウェア化したバージョンはオープンソースの遠隔操作ツール AhMyth Android RAT をベースにしたコードが追加されたもので、ESET は AhRAT と名付けている。AhRAT は C&C サーバーに接続してマイクから録音した音声 (調査時点では 60 秒) を送信するとともに新しい設定ファイルを受信する。指定された拡張子のファイルを送信する機能も搭載されていたほか、設定ファイルには実装されていないコマンドも含まれていたそうだ。

アプリ開発者が無害なアプリを Google Play でリリースし、1 年近く待ってからマルウェアに変えるのは珍しいという。以前 Google Play で公開されていたバーコードスキャナーアプリのマルウェア化や Chrome ウェブストアで公開されていた拡張機能のマルウェア化が話題になったが、これらの場合は途中で開発元が変わっている。なお、「iRecorder」という名称のアプリは Google Play で複数公開されているが、このアプリは削除済みだ。

ジッパーが下りたまま指定の時間が経過すると通知される「スマートパンツ」を Twitter ユーザーが作成し、その仕組みを解説している (Android Police の記事、 Guy Dupont 氏のツイート)。

スマートパンツは Honeywell の SS441R 磁気センサーと Stemma/QT ケーブル、Unexpected Maker の FeatherS3 開発ボード、リチウムポリマー電池、磁石などをジーンズに取り付けて作られており、CircuitPython で処理を行う。

磁気センサーは片側を切り落としたケーブルにハンダ付けされ、ホットボンドでリード線を固めて安全ピンに接着されている。この安全ピンでセンサーをジーンズの内側に取り付け、ケーブルの反対側はポケットの穴を通してポケット内の FeatherS3 に接続されているという。

ジッパーには小さな磁石が瞬間接着剤で接着されており、ジッパーを下してセンサーの出力が low になると FeatherS3 がスリープから復帰。Wi-Fi アクセスポイントに接続し、指定した時間を経過しても low のままの場合には Pushover を通じて通知がスマートフォンに送られるとのこと。

本気かどうかは不明だが、作者の Guy Dupont 氏は出資者を探しているという。スラドの皆さんはジッパー開きっぱなしを通知してくれるスマートパンツ、必要だろうか。余談だが、スラドの皆さんはズボンの前開きのファスナーを何と呼んでいるだろう。

あるAnonymous Coward 曰く、

5月20日に公開された「自社開発メガベンチャーをわずか半年で鬱退職した雑魚エンジニアの話」という記事が、Twitterなどのプログラマ界隈で盛り上がっているので共有したい（はてなブックマーク）。

記事を要約すると、氏はメガベンチャーと呼ばれる自社開発企業の機械学習エンジニアに転職、そこは待遇もよくプロジェクトも選べるなど自由主義な社風であったが、一方で放任主義であったという。入ったプロジェクトは前職（データサイエンティスト）の経験に近そうなPythonのプロジェクトであったが、ソースコードの品質が低く理解できず、またこのままでは問題があると思い、リファクタリングを提案するもチームメンバーには受け入れらず、結果として人事評価も低くなり、最終的にマネージャーからの「あ、そういうコードを保守した経験ないんですね」というコメントに耐えられなくなり、鬱になってしまったという。

これに対して、SNS上では「この人は悪くない。環境がダメだっただけ」「相性が合わなかったのでは」「コードの品質より短期的な売り上げを優先する職場だったのでは」「既存メンバーはリファクタリングする動機が無いのでこういうのは良いリファクタリングタイミングだ」といった擁護の声がある一方、「チームに入って初手リファクタリング提案は絶対ダメ」「入ったばかりの人は信頼ポイントを貯めてから提案すべき」「本番運用中のコードを変えようとしたら挙動が変わらないことだけを願いますと言われるのは当たり前」「品質が低いコードを保守するという仕事は普通にあるので元の品質が低くて直せないというのは普通にスキル不足」といった厳しい声、また「そもそもPythonで書いたコードに保守性なんてない」というどうしようもないツッコミも上がっている。スラド諸氏はどう考えるだろうか？

headless 曰く、

Apple の 2022 年版 App Store 透明性リポートによると、現在 App Store には 1,783,232 本のアプリがあるそうだ (透明性リポート: PDF、 The Verge の記事、 9to5Mac の記事)。

この透明性リポートは App Store における Apple の反競争行為を米開発者が訴えたクラスアクション訴訟で、2021 年に成立した和解の条件の一つになっていたものだ。それによると、App Store に送られて Apple がレビューしたアプリ 610 万本のうち、168 万本が却下され、却下理由で最も多いのはパフォーマンスに関する App Store Review ガイドライン違反 (102 万件) だという。いったん却下されたが最終的に登録されたアプリも 25 万本あるそうだ。

App Store 登録後に削除されたアプリは 19 万本。削除理由として圧倒的に多いのはアプリのデザインに関するガイドライン 4.0 違反で 15 万件、Apple のソフトウェア・サービスの妨害や、消費者の混乱を招く目的で第三者のアプリと似た名称を使用することなどを禁じたデベロッパプログラム使用許諾契約 (DPLA) 3.2 (f) 違反が 3 万件で続く。Apple に登録された開発者は 3,697 万人、削除された開発者アカウントは 43 万件で、ほとんどが DPLA 3.2 (f) 違反だという。

政府の要請により削除されたアプリは 1,474 本、中国本土 (1,435 本) がその大半を占める。アプリの削除に対する異議申し立ても中国本土 (5,484 件) が最も多く、米国 (3,147 件)、英国 (817 件) が続く。これにより復活したアプリも中国本土 (169 本) と米国 (129 本)、英国 (36 本) の順で多い。

フリーランス向けマッチングサービス事業を展開しているHajimariは19日、フリーランスのITエンジニアを対象にしたChatGPTに対する意識調査の結果を発表した。調査対象はChatGPTを認知しているフリーランスのITエンジニア101名（Hajimariプレスリリース、CNET）。

現在の仕事にChatGPTを活用した経験があるかとの問いに対して、「ある」が32.7％、「ない」が67.3％という回答だった。先の質問で「ある」と回答した人に、どのような場面でChatGPTを活用したか（複数回答アリ）について聞いたところ、「プログラムコードのレビュー」が39.4％、「アルゴリズムのコード化」が39.4％、「サンプルコードの生成」が39.4％となったという。また最初の質問で「ない」と回答した人にITエンジニアの仕事において、ChatGPTを活用してみたいか聞いたところ、「非常にそう思う」が5.9％、「ややそう思う」が42.6％という結果となったとしている。

headless 曰く、

Google Play Console では今後数週間のうちに、アプリ内アイテムの適切な販売価格を調べるための A/B テストが実施可能になるそうだ (Android Developers Blog の記事、 Android Police の記事)。

市場ごとの購買力に合わせた価格の調整は広く行われており、適正な価格設定は売り上げ増加につながる。A/B テストは Play Console の価格実験セクションから数分で設定でき、価格による売り上げの変化を統計的に確認できる。十分なデータが集まると統計的な有意差が表示されるので、勝利した価格を新しい価格として設定すれば完了とのことだ。

プログラミング言語「Dart」が10日、5年ぶりのメジャーバージョンアップ版である「Dart 3」をリリースした。「Google I/O 2023」で発表された「Dart 3」では、100％の「健全なNULL安全性」（sound null safety）が達成されたという。「Dart」では変数に「null」を代入する運用を許可することができたが、「Dart 3」ではそれが許されなくなり、nullポインター例外をはじめとするコーディングエラーを根絶することが可能となった。レコード、パターンマッチ、クラス修飾子といった新しい言語機能も用意されたほか、プレビューの段階で実用は推奨されていないものの、WebAssembly（WASM）への対応も図られている（Medium、Mediumその2、窓の杜）。

Google は 10 日、次期 Android 14 の 2 番目のベータ版となる Android 14 Beta 2 をリリースした (Android Developers Blog の記事)。

Beta 2 ではカメラやメディア、プライバシーやセキュリティ、システム UI、開発者の生産性などの強化が含まれており、Google Pixel 以外のパートナーブランド製品の一部でも初めてベータプログラムが利用可能となっている。今回 Android 14 Beta が利用可能となったのは、iQOO・Lenovo・Nothing・OnePlus・OPPO・realme・TECNO・vivo・Xiaomi の 9 ブランドだ。

Beta 2 でのカメラ機能の強化点としては、Ultra HDR 画像形式への対応やアプリが画像処理により長い時間を利用可能にする Camera Extensions API の強化、クロップ処理によるセンサー内ズーム対応が挙げられている。メディア機能ではロスレス USB オーディオに対応し、グラフィック機能も強化されたという。

Beta 2 は 6 月のプラットフォーム安定性の一つ前の段階となり、より多くのユーザーが試し始めると予想される。そのため、アプリ開発者は現在提供しているアプリの互換性やオプトインになった挙動の変化をテストし、新APIを試用することが推奨される。サポートされる Pixel デバイスではベータプログラムのほかにシステムイメージも提供されており、Android Emulator で動作を試すことも可能だ。テストには Canary 版提供が始まった Android Studio Hedgehog の利用が推奨されている。

ChatGPTのような生成AIに、適切な成果物を出力させる指示ができる「プロンプトエンジニア」という職種が脚光を浴びているらしい。日経クロステックの記事によると、2023年3月末時点でこの職種の雇用市場が急拡大しており、33万5000ドル（約4500万円）以上の年収を稼ぐことも可能だとBloombergなどで報じられているそうだ（日経クロステック）。

プログラマという職業が「ChatGPT」をはじめとする自然言語系の生成AIに取って代わられるのではないかという指摘は以前からある。一方でその生成AIを使いこなす職種としてのプロンプトエンジニアは今後、需要の高まるのではないかとしている。

日本でもプロンプトエンジニアリングに対する注目が集まっている。例えば、プロンプトエンジニアの育成に力を入れる企業や、中学校・高校向けにプロンプトエンジニアリングの体験授業を提供する企業などが登場しているそうだ。ただ先の記事では、プロンプトエンジニアリングは、いわば現状の生成AIに不足している部分を小手先で補うものでしかなく、生成AIが進化して人間の意図をより正確にくみ取れるようになれば不要になるとして、職業としての将来性は危ういものがあるとも指摘している。

2日、ModularはAIソフトウェア開発向けに最適化されたプログラミング言語「Mojo」を開発中だと発表した（gihyo.jp、k0kubun's blog）。

Mojoは、Pythonの部分と、C、C++、およびCUDAを必要とするようなシステムプログラミング機能が組み合わされ、Pythonの使いやすさとCのパフォーマンスを持ち、AIアクセラレーター向けの新しい機能が追加された言語になるそうだ。なおローンチ動画では全く同じコードがCPythonとMojoの両方で動くことが強調されているが、Why Mojoには現状の互換性には課題があることも記載されている。

Checkmarx の年次アプリケーションセキュリティ報告書「Global Pulse on Application Security」によると、86% の組織が既知の脆弱性を含むコードをデプロイしたことがあるそうだ (Checkmarx のブログ記事、 BetaNews の記事)。

報告書では調査会社 Censuswide を通じて全世界 1,500 人以上の CISO や AppSec 管理者、開発者から収集したデータと、クラウドベースのアプリケーションセキュリティプラットフォーム Checkmarx One のデータをまとめたものだ。既知の脆弱性を含むコードを本番環境にデプロイする頻度に関する設問では、23% が頻繁 (Often) と回答し、45% が時々 (Sometimes)、18% がまれに (Rarely) と回答しており、合計で 86% が脆弱性を含むコードをデプロイしていることになる。なお、わからない(Not sure)という回答も 1% あり、既知の脆弱性を含むコードをデプロイしたことがない (Never) という回答は 13% となる。

既知の脆弱性を含むコードを使用する理由として AppSec 管理者とソフトウェア開発者の 40% 近くが「ビジネスや機能、セキュリティに関連した締め切りに合わせるため」といった時間不足を挙げているという。また、CISO の 3 分の 1 近くは開発者が常時ポリシーに従っているとは限らないと認識しているそうだ。

88% の組織は自ら開発したアプリケーションの脆弱性によるセキュリティ侵害を過去 12 か月間に受けており、AppSec 管理者の 41% がオープンソースソフトウェアのサプライチェーン攻撃、開発者の 40% はクラウドリソースやコード化されたインフラストラクチャ(IaC)、コンテナの誤設定をセキュリティ侵害の原因に挙げているとのことだ。

スラドの皆さんはコードに脆弱性があると知りながら使わざるを得ない場面があるだろうか。

headless 曰く、

Google が著作権処理の見直しを行うオーストラリア政府の意見募集に対し、募集範囲を超えるとしつつ AI 技術の開発に向けた柔軟な著作権処理を推奨している (The Guardian の記事、 Google の意見ページ)。

Google が特に強調しているのはテキストデータマイニング (TDM) などの著作物利用に対する例外措置の必要性だ。AI 技術の開発で著作物の柔軟な利用ができなければ、よりイノベーションを重視する著作権の枠組みを持つ米国やシンガポール、日本などで製品が開発され、オーストラリアへ輸入して使われることになるという。

例として挙げられているのは Google 翻訳だ。Google 翻訳は米国で開発されたが、このシステムによる翻訳の 92% は米国外から実行されており、オーストラリア人は過去 3 年ほどの間に Google 翻訳で 60 億回以上翻訳しているそうだ。現在の Google 翻訳は一般に利用可能な大量のデータを用いて学習を行うが、オーストラリアではそれを可能にする柔軟な著作権の枠組みが欠けているとのこと。

そのため、新しいテクノロジーが柔軟に著作物を利用可能になる著作権法改正を行えば、著作権保有者の権利を保護しつつ、新しいテクノロジーに関連したイノベーションや経済成長が可能になるとのことだ。

Huawei は 20 日、独自に開発した ERP (企業資源計画) システム「MetaERP」でレガシー ERP を置き換えたことを発表した (プレスリリース: 英語版、 中国語版、 Neowin の記事、 The Register の記事)。

Huawei は 1996 年に MRP II (製造資源計画) システムを導入し、その後 ERP システムに拡大した。この旧 ERP システムは企業活動の土台として重要な役割を果たしてきたが、外圧と経営課題の増加を受け、2019 年にはすべてを制御可能な MetaERP を開発して置き換えることを計画。過去 3 年間にわたって Huawei は多くのリソースと数千人をプロジェクトに割り当て、業界やエコシステムのパートナーと協力して MetaERP を完成させたという。MetaERP は現在、Huawei の業務シナリオの 100%、業務量の 80% を扱っているそうだ。Huawei では同日、「英雄強渡大渡河」と題したイベントを開催し、MetaERP 開発に重要な貢献をした個人やチームを表彰したとのことだ。

Pythonソフトウェア財団（PSF）が、EUが導入を進めているサイバーレジリエンス法案（Cyber Resilience Act1）と製造物責任法（Product Liability Act）が、オープンソースコミュニティの健全性を危険に晒す可能性があると指摘している（PSF、GIGAZINE）。

あるAnonymous Coward 曰く、

問題の法案はEUのCyber​​ Resilience Act (サイバーレジリエンス法) およびProduct Liability Act (製造物責任法) で、条文の中に「製品に大幅な変更を行う人または企業を製造業者と見なす」「製造業者が他のサービスを収益化するためのソフトウェアプラットフォームを提供すること」といった項目があるため、実際にOSSを使って製品を提供した企業だけでなく、OSSの開発者やPSFのようなOSS組織にも責任が負わせられる可能性があるという。

PSFは、欧州のソフトウェア消費者のセキュリティと説明責任を高める方針自体は支持するが、過度に広範な政策が、保護しようとするユーザーを意図せず害してしまう懸念があると指摘している。

Amazon Web Services（AWS）は13日、AIを活用したコーディングコンパニオン「Amazon CodeWhisperer」が正式版になったことを発表した。Amazon CodeWhispererは、2022年にプレビュー版としてリリースされていたもので、オープンソースリポジトリ、Amazon内部リポジトリなどから収集した数十億行のコードを基にした機械学習から、プログラマが書き始めたコードの続きや、コメントの内容からコードを提案してくれるサービス。GitHub CopilotのAWS版という立ち位置であるという（AWS発表、Publickey、テクノエッジ）。