2013/02/14 デブサミ2013【14-C-1】Androidセキュアコーディング #devsumiC
Developers Summit 2013 Action!
http://event.shoeisha.jp/detail/1/
<講演概要>
昨今、脆弱性の件数が増加傾向にあるAndroidアプリ。本セッションでは、脆弱な実装の事例を紹介し、どのような脆弱性が作り込まれやすいのかをディベロッパーの皆様に知って頂くとともに、ではセキュアなアプリを書くにはどうすればよいのか、その対策方法を、JSSECから公開されている「Androidアプリのセキュア設計・セキュアコーディングガイド」を使ってご紹介します。
続きを読む
Takahiro HAMAGUCHI
@tk_hamaguchi
IMEIを取得してSDカードに入れてしまってるアプリもあった。 #devsumi #devsumiC
2013-02-14 10:53:51
Takahiro HAMAGUCHI
@tk_hamaguchi
BrowsableIntentdeで独自スキームを実装している場合バリデーションがしっかりかかってない場合はそこが脆弱性に繋がる可能性が高い。 #devsumi #devsumiC
2013-02-14 10:53:57
Takahiro HAMAGUCHI
@tk_hamaguchi
AccountAuthenticatorActivityを継承したActivityが外部から呼び出し可能担っている場合、マルウェアの踏み台になる可能性が高い。 #devsumi #devsumiC
2013-02-14 10:54:03
鎌玉 大
@kamatamadai
#devsumiC WebViewを利用するアプリ。JavaScriptを利用する設定は注意が必要。WebViewを安全に使う方法は、セキュアコーディングガイド第3版に掲載予定(期待!)
2013-02-14 10:54:26
すたぜろ
@STAR_ZERO
addJavaScriptInterfaceは外からJavaScriptが送られるので危険 #devsumi #devsumiC
2013-02-14 10:54:54
Takahiro HAMAGUCHI
@tk_hamaguchi
WebView.addJavascriptInterfaceの呼び出しは実は危険。 想定しないWebサイトを表示したとき、そのJavaScriptAPIを悪用される危険性がある。 #devsumi #devsumiC
2013-02-14 10:55:16