「secroid」というサイトの評価があまり参考にならないという話

2017/3/2追記

「secroid」のサービスが 2017年2月末をもって終了されたらしく、現在既にアクセスできなくなっています。
※そのため、以下はただの愚痴のようなものになりました。

自分で作成したアプリに対しての評価など、定期的に検索など行っているのですが。
「secroid」というサイトにいつの間にか取り上げてられて、セキュリティの評価がなぜか[HIGH]にされていました。

このアプリに潜むリスク:SDカードの内容を読んでいます。

別段危険な動作など実装してはないですし、SDカードを読み取るコードなどはもちろん書いていません。
詳細を詳しくみればわかるのですが、この指摘されているSDカードのアクセスの実態としては、コンポーネント上にSDカードにアクセスする仕組みがあるということが問題とされているようですが、中身はAndroid.GooglePlayServiceのコンポーネントで、GooglePlayの機能を使うのにほぼ必須のコンポーネントとなっています。
動作はGooglePlayのコンポーネントがエラー処理のためにアクセスするような機能や処理で、送信先はもちろん「GooglePlay」です。(このコードはGooglePlayから正式に提供されており、それをNuGetで入手しただけでノータッチです。)
※古いAndroidでのSDカードへアプリをインストール(移動)した場合でも、対応できるようにしたための処理だと思われます。

こんなの一般人には判断出来るわけありません!

ちょっと問い合わせでもしようとしたところ・・・。

リスクが高いと判断されたソフトウェアに関しての関係者のクレームは受け付けません。

おまけに勝手に判断しておいて、判断された側からは、以下の内容で異論は受け付けない姿勢!

ということで、こちらの主張!

営利目的ではなさそうなので、なんとも言えないのですが少なくとも以下の理由で判断基準に疑問が残りました。

  • GooglePlayの機能を使うための必須のコンポーネントが警告されて、リスクが高くなっている(送信先も考慮して欲しい!)
  • こちらの言い分を聞こうとしない姿勢(改善する気がない)
  • 更新情報が半年前で古い(1か月更新とかかいてあるのに・・・。)
  • みんな使っている通信アプリがほとんど[HIGH](LINEやFaceBookなども同様にSDカードで注意判定。)
  • アダルトが安全[SAFE]ってどういうこと?


※よくよくチェックしたら、アダルトが[SAFE]項目でした。この判断基準だとセーフにするには何も機能が追加できないので、ある意味ブラウザ表示だけの「側アプリ」が推奨???(※アクセス先がアダルトでも不問)

まとめ

そういうわけで、このサイトは[HIGH]判定でもSDカードの項目ぐらいは無視していいと思います。(総合判定のリスク表示は信憑性が低いです。)
それよりチェックすべきは[LOW]判定でも「ユーザ識別情報を外部に送信している」ところが適正なサイトへ送信しているかでしょう。
住所録へアクセスできて、さらに通信先が怪しければスマホの個人情報はダダ漏れになってしまいます。

認証などありますので、以下のような送信先は危険ではありません。
例)FaceBookアプリ

  • 目的:開発用ライブラリ/送信先:Android.GooglePlayservices
  • 目的:SNS api/送信先:facebook

ちなみに[MID]判定のバックグラウンド動作の送信先のですが、

  • 目的:通信/送信先:gms.analytics

gms.analyticsはアナリティクスといって、ゲーム分析(gms:ゲーム/analytics:分析)に利用されます。これは広告用でLINEなどにも普通に組み込まれています。

その他の項目も判定の分類の見直しが必要だと思いますが、そういったところを逐一改善してくれればいいサイトだとは思います。
しかし、こちらの記事でも言われているようにあまりにもずさんな判断と運営のようです。

「安全なアプリとは? Androidアプリのリスク格付けサイトに賛否両論 「まるで全て解析して格付けしたといわんばかりなのはどうか」

いろんなサイトでアプリが取り上げられるのは本当にありがたいのですが、こういったことはちょっと厳しいです・・・。
こちらとしては広告を無料アプリの維持費としていますので、こういった一方的な評価でアプリの利用が敬遠されるのは悲しい限りです。

もし安全だと信じてくれた方は、よろしければ公式のGooglePlayからどうぞ。

備考

また、海外のサイトでAPKが不正に抜き出されて、あちこちで野良配布されているみたいですが、GooglePlayで公開しているうちはちゃんとGooglePlayからの入手をしてください。そういったものは古いバージョンの場合もありますし、不正なプログラムが組み込まれている場合もあります。(某国で問題になっています。)
しっかり気を付けてアプリを使ってください。

この記事をシェアする
Tweet about this on Twitter
Twitter
Share on Facebook
Facebook
0

Comments

Comments

この記事を読んだ人は、こちらの記事も読んでいます

  1. 容量の少ないノートPCにXamarinをインストールする方法
  2. 実践家になろう