ネットエージェント社のサイト「secroid」に関するまとめ

Kyakujin @kabosuneko

はて、どういう手段で調査してるんだろうか。まさかリバースエンジニアリング？ / Androidアプリ調査、10本に1本が「危険」　「安易に同意しないで」 - 産経アプリスタ http://t.co/eBlqsNQJrb @aplistaさんから

Masanori Kusunoki / 楠 正憲 @masanork

アプリが取得する権限だけで危険性を判断してるせいで、ひどく不安を煽る内容になってる。これはまずいんじゃないかな / “Androidアプリのセキュリティチェックはsecroid(セキュロイド)” http://t.co/xcKm9Ylc29

Hiromitsu Takagi @HiromitsuTakagi

https://t.co/5rvEUgRSN1 「明らかに事実と違うと思います。 例えば私のこのアプリですが、必要最小限のパーミッションしか付けておりませんが、危険度Highにされています。 広告も入れておりませんし、出所不明のコードも含まれておりません。それは、作ったのが私…」

Hiromitsu Takagi @HiromitsuTakagi

https://t.co/5rvEUgRSN1 「ネットエージェント社は「違う」と言ってきました。じゃあどう違うんだと聞いた所、カメラのパーミッションが付いていると返答がありました。カメラアプリにカメラパーミッションを付けると危険なんだそうです。 呆れて返事する気も失せました。」

やぎの @issinta

トレンドマイクロの件の再来か。：個人情報悪用、遠隔操作…　「危険」アプリ横行、３万５０００種も - MSN産経ニュース http://t.co/JNNxvQfsRN

Hiromitsu Takagi @HiromitsuTakagi

@masanork Permissionを見ているだけではなく、実際にそれを使うコードがあるかを見ているようですが、使って何をするか（外部に送信するか）まで判定していない（一部ではそれも判定している様子）ものです。

potato @John_1qqq

@HiromitsuTakagi 出鱈目なんですか？

しらかみゅ @shiracamus

@chototsumoushin 「リスクレベルの判定基準」を見ると、悪意のあるソフトウェア(マルウェア)はDANGERレベル(DANGERの中の一部)なので、SD書込み権限(HIGHレベル?)をマルウェア認定してるというのは誤解では？

lumin @lumin

@HiromitsuTakagi 「認定された悪意(※1)のあるソフトウェア（マルウェア）」　はウイルス対策ベンダーです。

lumin @lumin

@VitzRsTurbo 自社アプリもリスクHIGHです。secroid検索は有志の方が作成しているアプリです。機械的なクローラなので意図的に抜くようなことはありません。

lumin @lumin

@rocaz 検査ロジックは一般の人以外には分かるようなものも用意しているのですが、これはアプリの弱点なども公開されてしまうので、一般向けに無料で公開するわけにはいかないのです。レベルの具体的な意味に関してはわかりやすいようにしますので、教えていただけるとありがたいです。

ChaMiu @Chamiu_IT

反secroidを喚く輩がもれなく自分が振る舞いを掌握または説明をしきれない広告SDKを寄生させているのは何の珍芸だろう？

Hiromitsu Takagi @HiromitsuTakagi

@lumin そう書いたらどうですか？

Hiromitsu Takagi @HiromitsuTakagi

@lumin ハア？ 「アプリの弱点なども公開されてしまう」問題があるのは、検査ロジックの全部なわけ？ そういう見え透いた誤摩化しをやめなよ。 @rocaz

Hiromitsu Takagi @HiromitsuTakagi

@lumin 前にもお尋ねしましたが、「ユーザ識別情報を外部に送信している」という項目は、本当に送信している事実を確認しているのですか？

Hiromitsu Takagi @HiromitsuTakagi

@lumin 改善する気ねーのかお前は。 http://t.co/EfnNzzx8XG

拡大

lumin @lumin

@HiromitsuTakagi 言葉が足りていなかっったので追記しておきます。

Hiromitsu Takagi @HiromitsuTakagi

@lumin 「禁止されている動作を行う」 禁止されている動作とは何ですか？

Hiromitsu Takagi @HiromitsuTakagi

@lumin 「root権限で実行する」 root化していない人にとってもDANGERなのですか？

Hiromitsu Takagi @HiromitsuTakagi

@lumin 「アプリ自体がウィルスかどうか、そのアプリが悪意を持って作られたかどうか を判断しているわけではありません。」 DANGERはその判断結果を示してるのに、出鱈目ですね。

えぴょん @epy0n0ff

@HiromitsuTakagi secroidに載ってる他人のアプリのことでなく自分の作っているアプリならなぜHIGHになったか予想はつきます。

Hiromitsu Takagi @HiromitsuTakagi

@epy0n0ff あなたがそう思うだけですね。既に知っているから。

Hiromitsu Takagi @HiromitsuTakagi

@lumin 「マルウェアかではなくリスクを示しているだけだ。」とおっしゃるけども、「DANGER」でマルウェアの場合を示していて、マルウェアが示されることのあるサービスと認識されるところ、HIGH、MID、LOWの3つとDANGERを連続的なものとして位置付けていますね。

Hiromitsu Takagi @HiromitsuTakagi

@lumin HIGH、MID、LOWの3つとDANGERは、別格に位置付けるべきものではないのですか？ http://t.co/BA9NWlWo1r

拡大

Hiromitsu Takagi @HiromitsuTakagi

@lumin 「リスクが高いからといって、必ずしも危険なアプリということではありません。」 どういう意味で言っているかくらい説明したらどうなの？