secroidの判定に関するあれこれ
- yousukezan
- 9148
- 0
- 12
- 10
@lumin 逃げ口上ですね。一般ユーザーはリスクHighなどと言われたらダウンロードしません。
2013-04-19 22:16:13@lumin ご連絡ありがとうございます。記事は更新しました。私は、REWORDより広告主が表示先アプリを選択できるのがベストだと思っていたりします。それができる広告会社は知りませんが。ただ、それなら技術的にLOWリスクにできるし、より的確なターゲティングもできる気がするので。
2013-04-19 22:58:35@suzukiplan どの広告会社がセキュリティ、ユーザリスク、広告収入の面で良いのかは十分まとめられて無く開発者にとっては必要な情報だと思います。業界団体や総務省からも要請があるので、来週ぐらいから始めようと思います。全世界約250社のリストと取得情報はあるのでご期待ください
2013-04-19 23:13:23http://t.co/mkm28RnuMt 「外部に開発を委託したアプリが仕様書通りに作られているか、意図しない動作をしないかどうかを診断…発注元が意図していない情報まで収集してしまうようなリスクを事前に検査し、トラブルを未然に防ぐという。」
2013-04-20 22:29:22http://t.co/mkm28RnuMt 「検査項目は、secroidによるリスク評価に加え、「アプリがアクセスする可能性のあるURL」「導入されている広告モジュールの一覧」…個人情報/識別情報を扱うアプリの場合は、それがプログラムのどこで取り扱われているかもチェック」
2013-04-20 22:30:37見れなくなった……。 http://t.co/yagvuWUNtS エラー: データベースに接続できません
2013-04-20 22:55:10セキュロイドの言う「危険」が実際に危険とは限らないものだという位置付けが、セキュロイドサービス上であり得るとしても、報道記事でこう出るなら、アカンやろ。 http://t.co/tHSUhaKKCt
2013-04-20 22:57:51出鱈目。 http://t.co/tHSUhaKKCt 「個人情報が悪用されたなどとして「危険」と判定したアプリ(応用ソフト)が、約3万5000種類あったことが17日、分かった。調査したアプリの10分の1に上るという。」
2013-04-20 22:58:36出鱈目だろオイ。いいかげんにしろ。 http://t.co/tHSUhaKKCt 「主に日本人向けの約34万8000種類を調べた。「危険」と判定したのは(1)抜き出した情報の悪用を確認(2)遠隔操作が可能(3)正規アプリの海賊版-などの条件に該当するもの。」
2013-04-20 23:01:43これが「危険」の何割を占めるのか。 http://t.co/tHSUhaKKCt 「スマホのほぼ全ての操作が可能で、通常は制限されている「ルート権限」と呼ばれる状態で実行されるアプリも「危険」に分類した。」
2013-04-20 23:09:11認定?誰が認定したの? http://t.co/ykTtcElgx7 「認定された悪意(※1)のあるソフトウェア(マルウェア)」 ※1 http://t.co/axBbOY298d
2013-04-20 23:10:46またこれか。いいかげんなこと広めるなよ。 http://t.co/tHSUhaKKCt 「「同意してダウンロード」と書かれた画面上のボタンを押せば、注意事項に「同意」したとみなされる。」
2013-04-20 23:18:55https://t.co/5rvEUgRSN1 「明らかに事実と違うと思います。 例えば私のこのアプリですが、必要最小限のパーミッションしか付けておりませんが、危険度Highにされています。 広告も入れておりませんし、出所不明のコードも含まれておりません。それは、作ったのが私…」
2013-04-20 23:48:05https://t.co/5rvEUgRSN1 「ネットエージェント社は「違う」と言ってきました。じゃあどう違うんだと聞いた所、カメラのパーミッションが付いていると返答がありました。カメラアプリにカメラパーミッションを付けると危険なんだそうです。 呆れて返事する気も失せました。」
2013-04-20 23:48:41@masanork Permissionを見ているだけではなく、実際にそれを使うコードがあるかを見ているようですが、使って何をするか(外部に送信するか)まで判定していない(一部ではそれも判定している様子)ものです。
2013-04-21 00:36:45secroidは単にパーミッションだけじゃ無くある程度コードも見てるよと聞いたことがあるんだけど、どこでだったっけ。本当にそうなんだっけ
2013-04-21 00:42:16TLでsecroidがどうの……というのがチラホラ。で、secroid自身を検索したら、Secroid検索はリスク:HIGHだと。自社アプリを抜くことすらせずに機械的に判定してるのか?
2013-04-21 00:55:42僕自身は表層的情報しか分からないならそもそも危険側へ倒しておくことに異論は無いのだけど(そもそもsecroidは補完ツールに過ぎない)、一義的にはこれは一般利用者への説明と啓蒙問題だよね。難しい前提は分からない利用者にどのように情報を提供して分かるように理解してもらえるか
2013-04-21 01:27:28難しい前提が分からなければ使うべきでは無いというのはエンジニアとしては怠慢だし、ただそもそもsecroidは「分かっているエンジニア層」限定だったのが一般利用者層の目に触れるところへ「そのまま」流出してきたのが問題の発端か。そういう点で確かにあの記事はちょっとマズいよな
2013-04-21 01:30:40でも個人的にはこのままAndroid市場(マーケットでは無い)が一旦崩壊してもそれはそれでアリかなとも思ってる。他に選択肢が無いわけで無し、耐えられるものが残っていってくれればそれでいい
2013-04-21 01:33:19@sakichan 突き詰めればまあ別にsecroidがAndroid界隈のセキュリティを一手に引き受けているわけでも無いので。ただネットエージェントがこれで「一般向けに」商売気満々ならまた話は別ですが
2013-04-21 01:50:15