2013/02/14 デブサミ2013【14-C-1】Androidセキュアコーディング #devsumiC
#devsumiC IPAへ報告した脆弱性の多くは、アクセスコントロールの不備。対策についてはセキュアコーディングガイドを参照。でも、基本的なこと
2013-02-14 10:24:56JVN:IPAとJPCERTが協力して提供しているソフトの脆弱性情報提供サイト http://t.co/BrCgTEOE #devsumi #devsumiC
2013-02-14 10:26:22JVMのサイトに、iPedia という脆弱性データベースがあります、とのこと。#devsumiC
2013-02-14 10:26:32#devsumiC 脆弱性のDB Japan Vulnerability Notes http://t.co/0b4Zv7eD < ここでAndoroidで検索して
2013-02-14 10:26:39JVN#31860555『twicca におけるアクセス制限不備の脆弱性』の紹介 http://t.co/o3yA3lM5 #devsumi #devsumiC
2013-02-14 10:29:08#devsumiC twitterクライアント。端末内に入ったマルウェアが、指定された画像以外の画像を勝手にツイートする恐れがあった。あくまで、可能性の話
2013-02-14 10:29:53画像アップロード用Activityが他のアプリから叩けるようになっていたのが原因。マルウェア自体はインターネットアクセスのパーミッションが不要だった。 #devsumi #devsumiC
2013-02-14 10:30:58マルウェアから画像がツイートされてしまう事例。ほかのアプリからActivity起動できたのが原因。対策はActivityを非公開にする。 #devsumi #devsumiC
2013-02-14 10:32:03#devsumiC 対策:アプリの画像アップロードActivityを他のアプリに対して公開しないようにすればよかった。マニフェストの1設定でできる。(セキュアコーディングガイドに書かれています)
2013-02-14 10:32:12対策としてはAndroidManifest.xmlにandroid:exported="false"と書いておくべきだった。セキュアコーディングガイドの4.1.1.1 非公開Activityを作る・利用するでも紹介されているらしい。#devsumi #devsumiC
2013-02-14 10:32:25JVN#92038939『Android 版 mixi における情報管理不備の脆弱性』の紹介 http://t.co/xn964J9s #devsumi #devsumiC
2013-02-14 10:33:35#devsumiC 次の事例。友人のツイートを盗まれるtwitterクライアント。友人の発言の保存先がSDカードだったため。対策:SDカードに保存しない。アプリディレクトリの非公開ディレクトリに保存するようにする。セキュアコーディングガイドの「非公開ファイルを扱う」を参照
2013-02-14 10:35:24SNSで繋がっている友達の発言のデータをSDカードに保存してしまっていた。アプリディレクトリに非公開ファイルで保存しておくべきだった。セキュアコーディングガイド4.6.1.1 非公開ファイルを使うで紹介 #devsumi #devsumiC
2013-02-14 10:35:26SDカードに保存したための情報漏洩。SDカードに保存したものは他のアプリから読み取れる。アプリ用ディレクトリに保存する。 #devsumi #devsumiC
2013-02-14 10:36:11JVN#23328321『魔法少女まどか☆マギカ iP for Android における情報漏えいの脆弱性』の紹介 http://t.co/Q8ONIk7r #devsumi #devsumiC
2013-02-14 10:36:41LogCatにTwitterID/Passwordが吐かれていたらしい。。。ちょwww #devsumi #devsumiC
2013-02-14 10:37:21