2013/02/14 デブサミ2013【14-C-1】Androidセキュアコーディング #devsumiC

鎌玉 大 @kamatamadai

#devsumiC 一番は、デバッグログの出力のところをソースから外しておくこと

Takahiro HAMAGUCHI @tk_hamaguchi

ProGuard設定を使ってLog出力のコントロールを第３版で掲載予定。 たしかに動きは見てもログまでは観ないかもなぁ。。。 #devsumi #devsumiC

鎌玉 大 @kamatamadai

#devsumiC 松並さんから、久保さんに交代

たかぱち @takapaty

Androidセキュアコーディングガイドはこれですかね http://t.co/aHrwOWYV #devsumi #devsumiC

kaz @kaz_shu

まだ開発してないけど、知らないといけないことは多いなー #devsumiC

osamu @osamunmun

ProguardでAndroidのデバッグログをリリースビルドでは出力できないようにできる #devsumiC

古川　剛啓 @furuyoshi

#devsumiC 知っているか知らないか差はそれだけ。でも、知らないという事実を知ることはむつかしい。

すたぜろ @STAR_ZERO

一番簡単なのはログ出力の箇所を消す #devsumi #devsumiC

Takahiro HAMAGUCHI @tk_hamaguchi

スピーカーが変わってAndroidアプリ脆弱性分析のお話 #devsumi #devsumiC

鎌玉 大 @kamatamadai

#devsumiC 同じアプリに複数の脆弱性がある。Intent、WebViewなど。

すたぜろ @STAR_ZERO

Intent、WebViewの脆弱性がおおい #devsumi #devsumiC

鎌玉 大 @kamatamadai

#devsumiC 発見者が見つけやすい。インパクトがある。自分で使っている。入手しやすい。数を稼ぎやすい　＞　アプリに存在する脆弱性のすべてが発見、報告されているわけではない

鎌玉 大 @kamatamadai

#devsumiC クロスサイトスクリプティングが1年に200件報告されたことがある。報告者が1日に1件発見しようと頑張ったから。XSSは見つけやすい

すたぜろ @STAR_ZERO

今報告されてる脆弱性は氷山の一角 #devsumi #devsumiC

鎌玉 大 @kamatamadai

#devsumiC 報告されていない脆弱性が、どれほどあるか1000アプリをサンプリング

古川　剛啓 @furuyoshi

#devsumiC セキュアコーディングガイドに違反しているかもしれないアプリを調査。1000個のアプリをサンプリング

鎌玉 大 @kamatamadai

#devsumiC アプリ全体の40％がServiceが存在。外部に公開しない場合は、明示的にexported=falseをするべきだが、

ヨンキュー推進委員会・あまのりょー @beakmark

@igaiga555 C会場なので、ハッシュタグは #devsumiC が推奨みたいだよ

すたぜろ @STAR_ZERO

exported=”false”が漏れてて公開されてるServiceがおおい #devsumi #devsumiC

古川　剛啓 @furuyoshi

#devsumiC 1/3が公開サービスを持っている。多いか少ないかわからないが違反している可能性有り

鎌玉 大 @kamatamadai

#devsumiC SQLiteを利用するアプリ。アプリの約半数がDBを利用。SQLiteを使用しないのに、SQLiteの関数を呼び出している場合、DBのパーミッションが不適切に設定されているかも

鎌玉 大 @kamatamadai

#devsumiC READ_PHONE_STATEを利用するアプリ。

鎌玉 大 @kamatamadai

#devsumiC SDカードに保存していないか注意が必要

鎌玉 大 @kamatamadai

#devsumiC AccountManagerを利用するアプリで危ない設定をしているアプリがある

しげっち @yuunya

typoが見つかった #devsumic AccountMangaer