話題のニンジャマイルズについて調査してみた｜okash1n

ニンジャマイルズ騒動に関する調査結果と問題点の整理

騒動発端

ニンジャマイルズがXでキーロガー疑惑として拡散される

@mizchi: あまりにも直球で危険なアプリ見つけて戦慄してる。ユーザーにキーロガーをインストールさせてポイ活と称して入力を促す

こういうの誰に言えばいいんだろ

@bulkneets @HiromitsuTakagi あたり？

(自分が界隈知らないだけで世界はこういうので溢れてる可能性もあるが...)

https://apps.apple.com/jp/app/ニンジャマイルズ-キーボードポイ活/id6737685977

mizchi氏の指摘による議論沸騰

サンゴテクノロジーズの火消し対応発生

@Nomalio: チームで必死に作ってきたキーボードアプリです。

睡眠を削って改善を繰り返し、ユーザーさんの声を頼りに続けてきました。

でも今、事実と異なる情報が著名な方から拡散され、否定も読まれないまま評価だけが下がっていきます。

誤解が広がるのを止められないのが、ただただ悔しいです。

技術検証

mitmproxyによる通信調査

入力文字列の外部送信なしを確認

Gboard比較でも追加通信なし

広告SDK通信の大量発生

逆アセンブル調査でもキーロガー挙動なし

実態

タップ数は内部カウントのみ

ポイント還元は広告収入とアプリ内タスク依存

ポイ活アプリとしての一般的構造

プライバシーポリシー問題

その他の入力情報の未定義

キーボード入力情報の第三者提供明記

CCPA分類との不整合

文言と実態の乖離

リスク認識

フルアクセス権限の潜在的危険性

将来の挙動保証なし

アップデートや売却による悪意実装の可能性

Simeji事件の前例

2013年、Baidu製の IME が「クラウド変換」の実装バグにより、ユーザーの入力内容をサーバーに送信していたことが発覚

規約上は問題なくても、実装が異なっていたケース

開発者側の問題

感情的反論による不信感増幅

公式アカウントの不適切対応

透明性欠如と第三者検証不提示

mizchi氏の指摘評価

表現強度は問題

注意喚起としての社会的意義は大

IMEリスクの再認識促進

既存考察記事の論点

ニンジャマイルズは「キーロガー」なのか━━一次情報に基づく情報整理｜dapto

dapto氏記事の丁寧な整理

ポリシー問題の過小評価

審査過信の指摘不足

通信未検証の限界

GitHub - okash1n/ninja-miles-investigation