2012年2月6日

AndroidのSSLなんたらでのセキュリティの守備範囲

Android(に限らないけど)セキュリティは「どの程度の安全か」をきちんとユーザに伝えることが大事だよ
26
ようてん @youten_redo

楽しそうな話をしている人に複数巻き込みメンションで適当なことを返すと@欄が貴重な情報のまとめになるライフハック

2012-02-06 10:58:02

言い出しっぺの法則。

ⓀⒾⒺⓉⒶ @typex20

徳丸さんが業務拡大につきこっち側に攻めてきている件。(^_-) / “徳丸浩の日記: スマートフォンアプリケーションでSSLを使わないのは脆弱性か” http://t.co/OHNtyFC3

2012-02-06 09:47:57
徳丸 浩 @ockeghem

@typex20 本当はまかせておきたかったのけど、「これはいかん」的な体験をしましたのでw

2012-02-06 09:50:42
ⓀⒾⒺⓉⒶ @typex20

あらあらうふふ。ばらしちゃった。ずばりその通りなわけですが。。(^_^) RT @ockeghem: 日記書いた / “徳丸浩の日記: スマートフォンアプリケーションでSSLを使わないのは脆弱性か” http://t.co/8bVgCWqL

2012-02-06 09:52:12
ⓀⒾⒺⓉⒶ @typex20

@ockeghem 自分もそういう体験を過去3年ほど続けてきているのでお気持ちお察しいたしますです。。(^_^)

2012-02-06 09:53:27
ⓀⒾⒺⓉⒶ @typex20

正確に言うとSSLを使わないのは問題外で、問題なのはSSLを適切に使っていないアプリがあまりにも多すぎるということ。自分がハックしている限りGoogle純正のアプリ以外で中間者攻撃を許さない実装になっているアプリを見たことがない。(←ちょっと言い過ぎだけど。。(^_^;))

2012-02-06 09:58:43
gaku@リスクファインダー @tao_gaku

ああそうだなぁと思った。 // アプリケーションの場合SSL通信しているかどうか利用者には分からないRT @ockeghem @typex20 本当はまかせておきたかったのけど、「これはいかん」的な体験をしましたのでw

2012-02-06 09:59:03
OISHI Ryosuke @roishi2j2

「告知せず平文通信している場合は、アプリケーションの脆弱性とみなすことを提案します(公開情報のみを通信している場合を除く)」とな。 RT @typex20: 徳丸さんが業務拡大につきこっち側に攻めてきている件。(^_-) http://t.co/WyRzNcHp

2012-02-06 10:00:33
ⓀⒾⒺⓉⒶ @typex20

. @tao_gaku @ockeghem 自分は通信+アプリの実装まで確認する派なんですけど、世の中そんな奇特な人間がそういるわけじゃないしーw SSL通信しているときはガラケーみたいにピクトアイコンでピコピコ表示させるべきですよねー。(^_^)

2012-02-06 10:01:14
ⓀⒾⒺⓉⒶ @typex20

@roishi2j2 ですねー。だいたい認証が伴うのと、利用履歴を外部から覗かれると困るようなアプリが増えてきているようなので、SSLを使わなくてもよいアプリを探すのは難しいかもですね。。

2012-02-06 10:03:19
ⓀⒾⒺⓉⒶ @typex20

@roishi2j2 ですねー。だいたい認証が伴うのと、利用履歴を外部から覗かれると困るようなアプリが増えてきているようなので、SSLを使わなくてもよいアプリを探すのは難しいかもですね。。

2012-02-06 10:03:19
zaki50 @zaki50

@typex20 http://t.co/33Mu8YiF で、「SSLであれば通信内容を監査可能」と書かれていますが、Androidにそういう仕組があるんでしたっけ?

2012-02-06 10:14:07
ようてん @youten_redo

@zaki50 @typex20 proxyに対応している限りサーバ証明書ではナリスマシ可能とかそういうものではないんでしたっけ

2012-02-06 10:15:53
zaki50 @zaki50

@youten_redo @typex20 いや、それってアプリがちゃんと証明書検証して無くてMITMを許す脆弱な実装ってだけだからそれはそもそもSSLしてる意味が無いような。アプリがSSLで使用するCAの証明書をユーザーが追加可能なんだっけ?

2012-02-06 10:21:53
ⓀⒾⒺⓉⒶ @typex20

@zaki50 AndroidのフレームワークのSSL通信の機能を使って標準Webブラウザと同様にSSL通信処理を実装した不適切なアプリのことを言っているのだと思います。徳丸さんはその点は誤解されているのかと。。

2012-02-06 10:22:00
ⓀⒾⒺⓉⒶ @typex20

@zaki50 @youten_redo ざきさんのご指摘が適切です。徳丸さんはWebブラウザでの話をされているので、アプリでの実装にはあまりお詳しくないのかもです。。(^_^;)

2012-02-06 10:22:59
ようてん @youten_redo

@typex20 @zaki50 なるほどどど。アプリは「なんでも許す」も「特定の証明書だけ許す」も実装マターの認識でござる。

2012-02-06 10:24:23
ようてん @youten_redo

@zaki50 @typex20 そういえばそもそもとして「証明書検証」ってどうやるもんなんでしたっけ?(メソッドあるけど何をするのが妥当なのか実は知らない)

2012-02-06 10:25:09
zaki50 @zaki50

@youten_redo @typex20 サーバの証明書検証しないのに SSLしてて暗号化だから安全とかいうのはもう詐欺レベル

2012-02-06 10:25:18
ⓀⒾⒺⓉⒶ @typex20

@zaki50 Android4.0からroot CAの証明書を追加できるようになったみたいですね。iOSと違ってAndroidはhttp/httpsプロキシーを簡単にアプリに適用できないので、アプリのSSL通信処理に脆弱性がありかつ端末のrootedが必要ですね。(^_^)

2012-02-06 10:27:23
ⓀⒾⒺⓉⒶ @typex20

@zaki50 @youten_redo サーバが送り返してくる証明書は端末が信頼出来ない環境では正常に検証できないので、Googleのアプリのように証明書の正解値をアプリ内に安全に持っておく必要があります。

2012-02-06 10:28:15
Takashi SASAKI 佐々木隆志 @TakashiSasaki

@typex20 @roishi2j2 Opera Turboやb-mobileのウェブアクセラレータのような帯域節約のためのプロキシ的サービスを使いたいので公開情報は平文にしたいところですが、スニッファーで履歴を見られるのも脆弱性と考えると常時SSL/TLSですねぇ。

2012-02-06 10:29:17
残りを読む(33)

コメント

椎路ちひろ @ChihiroShiiji 2012年2月7日
続きのまとめが作成されたようです>「スマートフォンアプリのSSLとか」 http://togetter.com/li/253510
0