『これらの問題は、実際の通信がどうであれポリシーの文言として改善すべき点だ。ユーザーはポリシーを読んで利用判断をするのだから、ポリシーが実態より広い範囲を許容する書き方になっていること自体がリスクだ』
嫌いなタイプのアプリではあるけど、キーロガー呼ばわりはやり過ぎで訴えられたら勝ち目無いだろ。規約がそう解釈出来ましたは多分負ける
「睡眠削って作った」は技術的な反論になってない。挙動より規約のガバさが気になるな
アプデの度にこんな調査やら解析やらやってられないんでキーボード系は信頼できる開発元のものしか入れたくないし、行儀の悪いのが多い広告系SDKが山盛りとか開発元に悪意がなくても怖すぎるよ。
信頼できなければ当然使わなければ良い。証拠もなしにキーロガー呼ばわりするのも感情論だろうにそれは無視で擁護するの不思議。最初から感情論で勝手な正義感で中傷しに行った話だろう。
「現時点では」キーロガーではない。
「内容は外部に送信もしてない&そもそもそんなことしていたらAppleの審査も通らない」Simejiの前例があるからなぁ(ぉ
ブコメの「嫌なら使うな」って1ミリも読めてないな。クリティカルな分野だから「嫌かどうかを判断するための情報提供を真摯にやれ」という指摘だろ。最初の反応が「俺の努力」と「揶揄」な開発元はユーザ舐めてる。
キーロガーの証拠も掴まずにキーロガーって叫ぶのは悪だと思う。出てくるたびにそれやるとまた言ってるよとなるだけだし。少しでも怪しい挙動を確認してから言おうよ。
よくわからないけど、キーボードとしての価値がないものにキーボードの権限を与える奴はアホということは言える
”App Store 審査を過信している。App Store 審査は全通信のペイロードを網羅的に検査するわけではない。審査通過はある程度の信頼指標にはなるが、安全性の証明ではない。”
普通に訴訟沙汰で何らおかしくない話。運営側の対応がよくないとかは関係ないですね。実際のところ対応も規約もよくないと思うけど、十分な根拠なく犯罪行為呼ばわりしたことと全く関係ないです
mizchiさんに対して名誉毀損での提訴を検討中らしい。怖https://x.com/Nomalio/status/2027262463771856900
どうも言葉が軽いんだよな。煽り文句で世に出た独学人間の哀しさだね
問題なくてもいきなり当たられてそれに反応する形で対応間違えると違う方向で叩かれるんだな。当たり屋もいいけど訴えられたら負けそうではある
過去の事例から「こういうのは絶対に使うべきではない」というのと「こいつはキーロガー」と断定するのにはかなり距離があると思う
擁護する気は全くないけど、再起動の導線が変とか自分の無知を他人に転嫁すんなよと。エンジニア名乗るなら恥じろ結論ありきで書くからそんなことになる
疑いがあって手を動かさないのは技術者のやることじゃないでしょ/そのアプリが好きか嫌いか、セキュリティに問題があるかどうかを分けて考えないからこうなる
「キーボードの打鍵数でポイントがもらえるのでキーストロークへのアクセス要求」というアイデアがIT屋さんから見ると怪しすぎるという感覚があって、規約や運営元の信頼がどうとかのレベルの話ではないと感じる
Web広告を見せることが目的であくまで審査を通す見せ機能をキーボード入力回数ポイ活と称してでっち上げてる印象。外形的挙動はキーロガーと区別できないし、その不安を覚えさせる挙動を正当化する程の価値提供が無い
なんでみんなこんなに親切にデバッグしてくれるのか?
コミュニティノートが凄い悪意全開で書かれていて逆に感心した。
「睡眠削って〜」は反論になっていないという指摘があるけど、そもそもキーロガーだとする根拠を出せていない(つまり言いがかりの域を出ておらず、何も始まっていない)のだから具体的な反論のしようがないのでは
しゃ、シャケネキ、、
著名なエンジニアが言うことだから正しいんだ、どんな言葉を使っても良いのだ、ならそれはバイアスが強いと思う/悪魔の証明では。仮に第三者機関がお墨付き与えても「いや擦り抜ける方法が」とどこまでも言える
「現時点では送ってなさそう」「遅延送信は観測できていない」はわかった。
初手でサポートとCEOがお気持ち冷笑してくるから信用出来ない。キーロガー化可能なアプリとして他企業に売り込みかけていない保証もないし。smoozを思い出した。
勉強になった
mizchi氏の初手はキーロガーを断定しているので、"故意"は無さそうなので偽計業務妨害は成立しないものの企業側が民事での損害賠償請求に踏み切る際の強力な証拠になるように思えたので魚拓とっといた https://x.gd/gEvcB
知らんけど使いたくはない
それはそれとして、プライバシーポリシーにこんなこと書いてある会社のアプリには近寄りたくないよね "また、当社は、本人が容易に知覚できない方法によって個人データを取得する場合があります"
「Appleの審査を通っているから悪いソフトであるはずがない」というのは間違いで、過去にも不適切なことをやっていたことがバレて騒動になったあとにAppStoreからアプリが削除されたという事例は普通にある
将来にわたって入力データが送信されないという保証(アプリのアップデートで挙動は変わりうる)まぁ感情論出してきたりイキりすぎなのでいつかはトチると思う。
ユーザー視点でもパケ代で赤字になりそうだよなこの手の
この界隈ではBongo Catとかの存在知られてなさそう
MitMしたら送信してなかったから安全てのも微妙で、自覚的にキーロガー作るならプロキシ検出くらいいれるでしょ。Certificate Pinning するより速くて安全
お前は過去の犯罪者と同じくパンを食ってるから犯罪者になりそうだ、いやもう犯罪してるだろとか言っちゃうタイプ?
マルウェアの中には「セキュリティ屋に観察されてるな?」と挙動を変えるものもあり、記事中の通り遅延送信の可能性もあり、キーロガーではないとある種の技術的お墨付きを与えるのもちょっと。でも良記事だと思う。
ポイ活系アプリは1回ウォーキングのやつを入れたことあるが、あまりにも電池を使いまくるんで耐えられなかった。これも消費電力めちゃくちゃ多そう
“セキュリティに関する技術的な指摘に対して、開発の苦労をもって反論するのは筋が違う。ユーザーが知りたいのは「頑張って作ったかどうか」ではなく「自分の入力データがどう扱われているか」だ。”
「信用できない業者に玄関のカギを預けるのって怖くね?」と「玄関のカギを要求するってことはこいつは泥棒するつもりだ」くらいの違い。
火消しが下手くそで運営会社の信頼性が失墜してるのに検証してるのは立派。泥棒だって主張するなら相応の証拠は必要だよなあ。
検証する姿勢と実際に検証した内容も見解も素晴らしい。疑義を示した方と開発者は、検証者に感謝すべき、これで「今は送信していない」と「送信できる可能性がある」という課題が公知にされ、ユーザの参考になった。
キーボードアプリって存在できないよな。専用の審査してほしい。これはプラットフォーマーが悪いのでGoogleもAppleも解体すべき
偽情報の拡散に関わっていながらこんなに偉そうにできるの凄いな。間違った情報をながしたときの第一声は「ごめんなさい」じゃない? 「確証がなくても怪しいのであればSNSで注意喚起するのが正義」って嫌だわぁ。
裁判所の判決だって「睡眠削って作った」とか言われたら一生信用しないよ
巨額詐欺事件になった高級腕時計シェアサービスの「トケマッチ」。サービス開始直後に質入れ腕時計2千本超で18億円を得てドバイへ飛んだ。「まさか質に入れると思ってるでござるか?🥷」とは言ってないようだけど。
某ITエンジニアのXアカウント覗いてみたが、思ったより酷いなこれ。ITエンジニアなら手元で環境作って検証してから断定する発言しないと。普通にアウト過ぎる。
この程度でキーロガー認定できるなら、ソシャゲでも電卓アプリでもキーロガー機能付いてるかもしれないから、この世の全部のアプリ調べろよ
マルウェア化した数々の先例を踏まえると、今が大丈夫だから今後も大丈夫とは全く考えられないし、少しでも怪しいものには権限自体渡すべきではない。審査をすり抜ける手管なども存在する
あの時点でキーロガー認定がそもそもアホすぎたんだが、なぜかあの投稿に対して開発者がハッキリせずムニャムニャ返してた事で更に胡散臭く見られてたんだよな。他のリプでは仕組みに触れて説明してたというのに
「通信確認すれば分かる」ってそんな変な発言か?調査機関に検証依頼して結果出るまで何週間かかる?その頃には皆忘れてその弁明誰も聞かないでしょ。証明責任があるのは指摘側。断定は「アラート」じゃない
労働基準法違反っぽい反論を初手でかますのは筋が悪い
例えばデータを溜め込んで1日1回送信するとかだと5分ほど通信を監視しただけじゃ発見できない気もする
注意喚起は責められるべきではないというのは同意。しかし根拠なくキーロガー断定したのは責められても仕方ない。開発会社側の反応も良くなかったが、同情はする……。そして危うい分野のアプリではあるよね。
Xのイキりエンジニア界隈絶対にいつか事故るだろうなと思ってたけど案の定。
名前がニンジャだもんなあ / 現時点ではキーロガー(即送信型)ではない(数十分の遅延送信型を否定できない)が、アプデでキーロガーに即変身してもプライバシーポリシー上は問題がない状態
"大いなる権限には大いなる責任が伴う"これは発信者側にも言えるだろうねぇ。注意喚起だったらあんな断定的な表現をする必要ないし
「調査せずに「怪しい」レベルで「このアプリは悪いことやってる」と断定する発言を拡散させる目的でSNSに投稿する行為」を自社サービスにやられたら誰でも業務妨害あたりで被害届・訴訟を検討するでしょ
エンジニアらしくAIエージェントで自己弁護してるところ見てみたいから是非mizchiに訴訟を起こしてほしいところ。悪質なデマばらまいた奴だって拡散したるで。
丁寧な解説
話題のニンジャマイルズについて調査してみた|okash1n
『これらの問題は、実際の通信がどうであれポリシーの文言として改善すべき点だ。ユーザーはポリシーを読んで利用判断をするのだから、ポリシーが実態より広い範囲を許容する書き方になっていること自体がリスクだ』
嫌いなタイプのアプリではあるけど、キーロガー呼ばわりはやり過ぎで訴えられたら勝ち目無いだろ。規約がそう解釈出来ましたは多分負ける
「睡眠削って作った」は技術的な反論になってない。挙動より規約のガバさが気になるな
アプデの度にこんな調査やら解析やらやってられないんでキーボード系は信頼できる開発元のものしか入れたくないし、行儀の悪いのが多い広告系SDKが山盛りとか開発元に悪意がなくても怖すぎるよ。
信頼できなければ当然使わなければ良い。証拠もなしにキーロガー呼ばわりするのも感情論だろうにそれは無視で擁護するの不思議。最初から感情論で勝手な正義感で中傷しに行った話だろう。
「現時点では」キーロガーではない。
「内容は外部に送信もしてない&そもそもそんなことしていたらAppleの審査も通らない」Simejiの前例があるからなぁ(ぉ
ブコメの「嫌なら使うな」って1ミリも読めてないな。クリティカルな分野だから「嫌かどうかを判断するための情報提供を真摯にやれ」という指摘だろ。最初の反応が「俺の努力」と「揶揄」な開発元はユーザ舐めてる。
キーロガーの証拠も掴まずにキーロガーって叫ぶのは悪だと思う。出てくるたびにそれやるとまた言ってるよとなるだけだし。少しでも怪しい挙動を確認してから言おうよ。
よくわからないけど、キーボードとしての価値がないものにキーボードの権限を与える奴はアホということは言える
”App Store 審査を過信している。App Store 審査は全通信のペイロードを網羅的に検査するわけではない。審査通過はある程度の信頼指標にはなるが、安全性の証明ではない。”
普通に訴訟沙汰で何らおかしくない話。運営側の対応がよくないとかは関係ないですね。実際のところ対応も規約もよくないと思うけど、十分な根拠なく犯罪行為呼ばわりしたことと全く関係ないです
mizchiさんに対して名誉毀損での提訴を検討中らしい。怖https://x.com/Nomalio/status/2027262463771856900
どうも言葉が軽いんだよな。煽り文句で世に出た独学人間の哀しさだね
問題なくてもいきなり当たられてそれに反応する形で対応間違えると違う方向で叩かれるんだな。当たり屋もいいけど訴えられたら負けそうではある
過去の事例から「こういうのは絶対に使うべきではない」というのと「こいつはキーロガー」と断定するのにはかなり距離があると思う
擁護する気は全くないけど、再起動の導線が変とか自分の無知を他人に転嫁すんなよと。エンジニア名乗るなら恥じろ結論ありきで書くからそんなことになる
疑いがあって手を動かさないのは技術者のやることじゃないでしょ/そのアプリが好きか嫌いか、セキュリティに問題があるかどうかを分けて考えないからこうなる
「キーボードの打鍵数でポイントがもらえるのでキーストロークへのアクセス要求」というアイデアがIT屋さんから見ると怪しすぎるという感覚があって、規約や運営元の信頼がどうとかのレベルの話ではないと感じる
Web広告を見せることが目的であくまで審査を通す見せ機能をキーボード入力回数ポイ活と称してでっち上げてる印象。外形的挙動はキーロガーと区別できないし、その不安を覚えさせる挙動を正当化する程の価値提供が無い
なんでみんなこんなに親切にデバッグしてくれるのか?
コミュニティノートが凄い悪意全開で書かれていて逆に感心した。
「睡眠削って〜」は反論になっていないという指摘があるけど、そもそもキーロガーだとする根拠を出せていない(つまり言いがかりの域を出ておらず、何も始まっていない)のだから具体的な反論のしようがないのでは
しゃ、シャケネキ、、
著名なエンジニアが言うことだから正しいんだ、どんな言葉を使っても良いのだ、ならそれはバイアスが強いと思う/悪魔の証明では。仮に第三者機関がお墨付き与えても「いや擦り抜ける方法が」とどこまでも言える
「現時点では送ってなさそう」「遅延送信は観測できていない」はわかった。
初手でサポートとCEOがお気持ち冷笑してくるから信用出来ない。キーロガー化可能なアプリとして他企業に売り込みかけていない保証もないし。smoozを思い出した。
勉強になった
mizchi氏の初手はキーロガーを断定しているので、"故意"は無さそうなので偽計業務妨害は成立しないものの企業側が民事での損害賠償請求に踏み切る際の強力な証拠になるように思えたので魚拓とっといた https://x.gd/gEvcB
知らんけど使いたくはない
それはそれとして、プライバシーポリシーにこんなこと書いてある会社のアプリには近寄りたくないよね "また、当社は、本人が容易に知覚できない方法によって個人データを取得する場合があります"
「Appleの審査を通っているから悪いソフトであるはずがない」というのは間違いで、過去にも不適切なことをやっていたことがバレて騒動になったあとにAppStoreからアプリが削除されたという事例は普通にある
将来にわたって入力データが送信されないという保証(アプリのアップデートで挙動は変わりうる)まぁ感情論出してきたりイキりすぎなのでいつかはトチると思う。
ユーザー視点でもパケ代で赤字になりそうだよなこの手の
この界隈ではBongo Catとかの存在知られてなさそう
MitMしたら送信してなかったから安全てのも微妙で、自覚的にキーロガー作るならプロキシ検出くらいいれるでしょ。Certificate Pinning するより速くて安全
お前は過去の犯罪者と同じくパンを食ってるから犯罪者になりそうだ、いやもう犯罪してるだろとか言っちゃうタイプ?
マルウェアの中には「セキュリティ屋に観察されてるな?」と挙動を変えるものもあり、記事中の通り遅延送信の可能性もあり、キーロガーではないとある種の技術的お墨付きを与えるのもちょっと。でも良記事だと思う。
ポイ活系アプリは1回ウォーキングのやつを入れたことあるが、あまりにも電池を使いまくるんで耐えられなかった。これも消費電力めちゃくちゃ多そう
“セキュリティに関する技術的な指摘に対して、開発の苦労をもって反論するのは筋が違う。ユーザーが知りたいのは「頑張って作ったかどうか」ではなく「自分の入力データがどう扱われているか」だ。”
「信用できない業者に玄関のカギを預けるのって怖くね?」と「玄関のカギを要求するってことはこいつは泥棒するつもりだ」くらいの違い。
火消しが下手くそで運営会社の信頼性が失墜してるのに検証してるのは立派。泥棒だって主張するなら相応の証拠は必要だよなあ。
検証する姿勢と実際に検証した内容も見解も素晴らしい。疑義を示した方と開発者は、検証者に感謝すべき、これで「今は送信していない」と「送信できる可能性がある」という課題が公知にされ、ユーザの参考になった。
キーボードアプリって存在できないよな。専用の審査してほしい。これはプラットフォーマーが悪いのでGoogleもAppleも解体すべき
偽情報の拡散に関わっていながらこんなに偉そうにできるの凄いな。間違った情報をながしたときの第一声は「ごめんなさい」じゃない? 「確証がなくても怪しいのであればSNSで注意喚起するのが正義」って嫌だわぁ。
裁判所の判決だって「睡眠削って作った」とか言われたら一生信用しないよ
巨額詐欺事件になった高級腕時計シェアサービスの「トケマッチ」。サービス開始直後に質入れ腕時計2千本超で18億円を得てドバイへ飛んだ。「まさか質に入れると思ってるでござるか?🥷」とは言ってないようだけど。
某ITエンジニアのXアカウント覗いてみたが、思ったより酷いなこれ。ITエンジニアなら手元で環境作って検証してから断定する発言しないと。普通にアウト過ぎる。
この程度でキーロガー認定できるなら、ソシャゲでも電卓アプリでもキーロガー機能付いてるかもしれないから、この世の全部のアプリ調べろよ
マルウェア化した数々の先例を踏まえると、今が大丈夫だから今後も大丈夫とは全く考えられないし、少しでも怪しいものには権限自体渡すべきではない。審査をすり抜ける手管なども存在する
あの時点でキーロガー認定がそもそもアホすぎたんだが、なぜかあの投稿に対して開発者がハッキリせずムニャムニャ返してた事で更に胡散臭く見られてたんだよな。他のリプでは仕組みに触れて説明してたというのに
「通信確認すれば分かる」ってそんな変な発言か?調査機関に検証依頼して結果出るまで何週間かかる?その頃には皆忘れてその弁明誰も聞かないでしょ。証明責任があるのは指摘側。断定は「アラート」じゃない
労働基準法違反っぽい反論を初手でかますのは筋が悪い
例えばデータを溜め込んで1日1回送信するとかだと5分ほど通信を監視しただけじゃ発見できない気もする
注意喚起は責められるべきではないというのは同意。しかし根拠なくキーロガー断定したのは責められても仕方ない。開発会社側の反応も良くなかったが、同情はする……。そして危うい分野のアプリではあるよね。
Xのイキりエンジニア界隈絶対にいつか事故るだろうなと思ってたけど案の定。
名前がニンジャだもんなあ / 現時点ではキーロガー(即送信型)ではない(数十分の遅延送信型を否定できない)が、アプデでキーロガーに即変身してもプライバシーポリシー上は問題がない状態
"大いなる権限には大いなる責任が伴う"これは発信者側にも言えるだろうねぇ。注意喚起だったらあんな断定的な表現をする必要ないし
「調査せずに「怪しい」レベルで「このアプリは悪いことやってる」と断定する発言を拡散させる目的でSNSに投稿する行為」を自社サービスにやられたら誰でも業務妨害あたりで被害届・訴訟を検討するでしょ
エンジニアらしくAIエージェントで自己弁護してるところ見てみたいから是非mizchiに訴訟を起こしてほしいところ。悪質なデマばらまいた奴だって拡散したるで。
丁寧な解説