secroidの判定に関するあれこれ

Androidアプリの潜在リスクチェックを行うWebサイトsecroid(セキュロイド)の判定についていろいろ盛り上がっているのでとりあえず関連ツイートを抜き出しておきますよ。
10
前へ 1 2 3 次へ
しらかみゅ @shiracamus

@chototsumoushin 「リスクレベルの判定基準」を見ると、悪意のあるソフトウェア(マルウェア)はDANGERレベル(DANGERの中の一部)なので、SD書込み権限(HIGHレベル?)をマルウェア認定してるというのは誤解では?

2013-04-21 02:30:31
SUZUKI PLAN @suzukiplan

GooglePlayの利用規約(3.8(i))では解析目的でのアプリ取得がNGになっています。パーミッションだけだとインテントを使った抜け道があったりするので、実装レベルで見ないとセキュリティ評価ができない面もあるとも思っていますが。 http://t.co/LuG3f4D2gg

2013-04-21 07:13:23
lumin @lumin

@HiromitsuTakagi 「認定された悪意(※1)のあるソフトウェア(マルウェア)」 はウイルス対策ベンダーです。

2013-04-21 09:02:58
lumin @lumin

@rocaz 一般向けに売れるようなものがあれば教えてください。

2013-04-21 09:22:59
lumin @lumin

@VitzRsTurbo 自社アプリもリスクHIGHです。secroid検索は有志の方が作成しているアプリです。機械的なクローラなので意図的に抜くようなことはありません。

2013-04-21 09:34:06
ROCA @rocaz

@lumin プリインsecroidアプリとか。キャリアと組んでプリインにして、インストール時にサンドボックスでsecroid診断とか

2013-04-21 09:51:09
ROCA @rocaz

@lumin secroidへの批判の多くは検査ロジックが「具体的」に不明な点とHIGHなどのレベルの「具体的意味」が不明な点、また作者がフィードバックできない点に絞られるように感じます。これらについて何らか対応可能にはならないのでしょうか

2013-04-21 09:56:59
ROCA @rocaz

secroid問題は、トレンドマイクロの誤検出問題だとかにも相似する可能性を秘めているとも思うのだけど、でもまあまだそこまで一般消費者にリーチはしてないよなあとも思う。ので対応するならいまのうち。よいエコシステムができるといいんですけどね

2013-04-21 10:01:37
lumin @lumin

@rocaz 検査ロジックは一般の人以外には分かるようなものも用意しているのですが、これはアプリの弱点なども公開されてしまうので、一般向けに無料で公開するわけにはいかないのです。レベルの具体的な意味に関してはわかりやすいようにしますので、教えていただけるとありがたいです。

2013-04-21 12:17:17
lumin @lumin

@rocaz 作者がフィードバックについては、これが出来るようにするまでに1つ重要なことをやっておかないと、いくらフィードバックを受けてもほぼ無意味になってしまうのでお待ちください。

2013-04-21 12:23:20
ChaMiu @Chamiu_IT

反secroidを喚く輩がもれなく自分が振る舞いを掌握または説明をしきれない広告SDKを寄生させているのは何の珍芸だろう?

2013-04-21 12:42:58
Hiromitsu Takagi @HiromitsuTakagi

@lumin そう書いたらどうですか?

2013-04-21 12:44:58
Hiromitsu Takagi @HiromitsuTakagi

@lumin ハア? 「アプリの弱点なども公開されてしまう」問題があるのは、検査ロジックの全部なわけ? そういう見え透いた誤摩化しをやめなよ。 @rocaz

2013-04-21 13:01:55
えぴょん @epy0n0ff

secroidのHIGHがなぜHIGHなのか理解できてない開発者のほうがやヴぁいと思うな…

2013-04-21 13:09:58
Hiromitsu Takagi @HiromitsuTakagi

@lumin 前にもお尋ねしましたが、「ユーザ識別情報を外部に送信している」という項目は、本当に送信している事実を確認しているのですか?

2013-04-21 13:28:56
Hiromitsu Takagi @HiromitsuTakagi

ほう、じゃああなたは、わかるのですか? RT @epy0n0ff secroidのHIGHがなぜHIGHなのか理解できてない開発者のほうがやヴぁいと思うな…

2013-04-21 13:43:57
Hiromitsu Takagi @HiromitsuTakagi

@lumin 改善する気ねーのかお前は。 http://t.co/EfnNzzx8XG

2013-04-21 13:45:30
拡大
lumin @lumin

@HiromitsuTakagi 言葉が足りていなかっったので追記しておきます。

2013-04-21 13:46:48
Hiromitsu Takagi @HiromitsuTakagi

@lumin 「禁止されている動作を行う」 禁止されている動作とは何ですか?

2013-04-21 13:48:24
Hiromitsu Takagi @HiromitsuTakagi

@lumin 「root権限で実行する」 root化していない人にとってもDANGERなのですか?

2013-04-21 13:48:42
Hiromitsu Takagi @HiromitsuTakagi

@lumin 「アプリ自体がウィルスかどうか、そのアプリが悪意を持って作られたかどうか を判断しているわけではありません。」 DANGERはその判断結果を示してるのに、出鱈目ですね。

2013-04-21 13:49:57
Hiromitsu Takagi @HiromitsuTakagi

@epy0n0ff あなたがそう思うだけですね。既に知っているから。

2013-04-21 13:53:16
Hiromitsu Takagi @HiromitsuTakagi

@lumin 「マルウェアかではなくリスクを示しているだけだ。」とおっしゃるけども、「DANGER」でマルウェアの場合を示していて、マルウェアが示されることのあるサービスと認識されるところ、HIGH、MID、LOWの3つとDANGERを連続的なものとして位置付けていますね。

2013-04-21 13:56:35
Hiromitsu Takagi @HiromitsuTakagi

@lumin HIGH、MID、LOWの3つとDANGERは、別格に位置付けるべきものではないのですか? http://t.co/BA9NWlWo1r

2013-04-21 13:59:46
拡大
ktgohan @ktgohan

@lumin @VitzRsTurbo こんにちは。私は開発者ではないのでよくわかりませんが、secroidで「secroid検索」を参照すると、リスクとして『インストールされているアプリの一覧の送信』と表示されます。なぜ送信しているのかと、その必要性についてご教示戴けませんか。

2013-04-21 14:00:10
前へ 1 2 3 次へ

いま話題のタグ

アサシンクリード23 ポケモン1925 ミャクミャク51 天ぷら95 メイク404 週刊少年ジャンプ3511 ホラー1592 コミュニケーション1599 大学2962 著作権2126 つばさの党16 プラモデル1854 りりちゃん12 はんつ遠藤8 共同親権325