2013/02/14 デブサミ2013【14-C-1】Androidセキュアコーディング #devsumiC

Developers Summit 2013 Action! http://event.shoeisha.jp/detail/1/ <講演概要> 昨今、脆弱性の件数が増加傾向にあるAndroidアプリ。本セッションでは、脆弱な実装の事例を紹介し、どのような脆弱性が作り込まれやすいのかをディベロッパーの皆様に知って頂くとともに、ではセキュアなアプリを書くにはどうすればよいのか、その対策方法を、JSSECから公開されている「Androidアプリのセキュア設計・セキュアコーディングガイド」を使ってご紹介します。 続きを読む
1
前へ 1 2 4 次へ
鎌玉 大 @kamatamadai

#devsumiC IPAへ報告した脆弱性の多くは、アクセスコントロールの不備。対策についてはセキュアコーディングガイドを参照。でも、基本的なこと

2013-02-14 10:24:56
古川 剛啓 @furuyoshi

#devsumiC 脆弱性報告急増し過ぎ。知らなかったから対策されず。

2013-02-14 10:25:03
古川 剛啓 @furuyoshi

#devsumiC JVA 脆弱性対策情報サイト

2013-02-14 10:25:39
Takahiro HAMAGUCHI @tk_hamaguchi

JVN:IPAとJPCERTが協力して提供しているソフトの脆弱性情報提供サイト http://t.co/BrCgTEOE #devsumi #devsumiC

2013-02-14 10:26:22
あきこ@しばらくしばらく趣味のつぶやき多め @akiko_pusu

JVMのサイトに、iPedia という脆弱性データベースがあります、とのこと。#devsumiC

2013-02-14 10:26:32
鎌玉 大 @kamatamadai

#devsumiC 脆弱性のDB Japan Vulnerability Notes http://t.co/0b4Zv7eD < ここでAndoroidで検索して

2013-02-14 10:26:39
鎌玉 大 @kamatamadai

#devsumiC ほんとうにあったAndoroid脆弱性。JVN報告より

2013-02-14 10:27:47
鎌玉 大 @kamatamadai

#devsumiC 今から報告するのは対処済みの事例ですよ<強調

2013-02-14 10:28:24
古川 剛啓 @furuyoshi

#devsumiC JVAで報告されている脆弱性は積極的に見つけられ対策されたもの。先人に感謝

2013-02-14 10:29:07
Takahiro HAMAGUCHI @tk_hamaguchi

JVN#31860555『twicca におけるアクセス制限不備の脆弱性』の紹介 http://t.co/o3yA3lM5 #devsumi #devsumiC

2013-02-14 10:29:08
鎌玉 大 @kamatamadai

#devsumiC twitterクライアント。端末内に入ったマルウェアが、指定された画像以外の画像を勝手にツイートする恐れがあった。あくまで、可能性の話

2013-02-14 10:29:53
Takahiro HAMAGUCHI @tk_hamaguchi

画像アップロード用Activityが他のアプリから叩けるようになっていたのが原因。マルウェア自体はインターネットアクセスのパーミッションが不要だった。 #devsumi #devsumiC

2013-02-14 10:30:58
すたぜろ @STAR_ZERO

マルウェアから画像がツイートされてしまう事例。ほかのアプリからActivity起動できたのが原因。対策はActivityを非公開にする。 #devsumi #devsumiC

2013-02-14 10:32:03
鎌玉 大 @kamatamadai

#devsumiC 対策:アプリの画像アップロードActivityを他のアプリに対して公開しないようにすればよかった。マニフェストの1設定でできる。(セキュアコーディングガイドに書かれています)

2013-02-14 10:32:12
Takahiro HAMAGUCHI @tk_hamaguchi

対策としてはAndroidManifest.xmlにandroid:exported="false"と書いておくべきだった。セキュアコーディングガイドの4.1.1.1 非公開Activityを作る・利用するでも紹介されているらしい。#devsumi #devsumiC

2013-02-14 10:32:25
Takahiro HAMAGUCHI @tk_hamaguchi

JVN#92038939『Android 版 mixi における情報管理不備の脆弱性』の紹介 http://t.co/xn964J9s #devsumi #devsumiC

2013-02-14 10:33:35
鎌玉 大 @kamatamadai

#devsumiC 次の事例。友人のツイートを盗まれるtwitterクライアント。友人の発言の保存先がSDカードだったため。対策:SDカードに保存しない。アプリディレクトリの非公開ディレクトリに保存するようにする。セキュアコーディングガイドの「非公開ファイルを扱う」を参照

2013-02-14 10:35:24
Takahiro HAMAGUCHI @tk_hamaguchi

SNSで繋がっている友達の発言のデータをSDカードに保存してしまっていた。アプリディレクトリに非公開ファイルで保存しておくべきだった。セキュアコーディングガイド4.6.1.1 非公開ファイルを使うで紹介 #devsumi #devsumiC

2013-02-14 10:35:26
すたぜろ @STAR_ZERO

SDカードに保存したための情報漏洩。SDカードに保存したものは他のアプリから読み取れる。アプリ用ディレクトリに保存する。 #devsumi #devsumiC

2013-02-14 10:36:11
鎌玉 大 @kamatamadai

#devsumiC (twitterクライアントでなくSNSクライアントとして紹介された)

2013-02-14 10:36:11
Takahiro HAMAGUCHI @tk_hamaguchi

JVN#23328321『魔法少女まどか☆マギカ iP for Android における情報漏えいの脆弱性』の紹介 http://t.co/Q8ONIk7r #devsumi #devsumiC

2013-02-14 10:36:41
鎌玉 大 @kamatamadai

#devsumiC 某魔法少女アプリにおける情報漏洩の脆弱性。もう、なおっています

2013-02-14 10:36:46
Takahiro HAMAGUCHI @tk_hamaguchi

LogCatにTwitterID/Passwordが吐かれていたらしい。。。ちょwww #devsumi #devsumiC

2013-02-14 10:37:21
鎌玉 大 @kamatamadai

#devsumiC LogCatにTwitterのID・PWを保存(何と契約していたんだ)

2013-02-14 10:37:21
鎌玉 大 @kamatamadai

#devsumiC 対策:リリースビルドではデバッグログをLogCatへ出力しないようにする。当たり前ですけど

2013-02-14 10:38:20
前へ 1 2 4 次へ

いま話題のタグ

婚活541 天ぷら95 ダンジョン飯136 軍事6800 りりちゃん12 著作権2126 はんつ遠藤8 お菓子1041 思い込みと謎のプライドだけで物事を捉えたとき観念の化け物が錬成される18 インプレゾンビ50 荒木飛呂彦158 逃げ上手の若君95 メイク404 江戸時代579 日本語1635