Androidセキュリティ勉強会(1/21)セキュアコーディングガイドについて

2013年1月21日に開催の、Androidセキュリティ勉強会のまとめです。 http://www.securedroid.org/2012/12/20131.html
2
ENDO Yasuyuki @eyasuyuki

#securedroid Androidセキュリティ勉強会開始10分前

2013-01-21 19:19:23
ENDO Yasuyuki @eyasuyuki

#securedroid セキュアコーディングガイドについて JSSEC松並さん

2013-01-21 19:31:34
ENDO Yasuyuki @eyasuyuki

#securedroid Androidアプリを開発した事がある人挙手=半数以上

2013-01-21 19:32:13
ENDO Yasuyuki @eyasuyuki

#securedroid 1.JSSECとセキュアコーディングガイド 2.Androidアプリの脆弱性の事例とガイド 3.Androidアプリのセキュリティ 4.協力のお願い

2013-01-21 19:33:10
ENDO Yasuyuki @eyasuyuki

#securedroid JSSEC成果物: Androidアプリのセキュア設計・セキュアコーディングガイド http://t.co/vT25CQfq

2013-01-21 19:36:10
ニシダマサタ @masata_masata

Androidセキュリティ勉強会に来た。 JSSECのセキュアコーディングガイドのお話。 #securedroid

2013-01-21 19:36:26
ENDO Yasuyuki @eyasuyuki

#securedroid セキュアコーディングガイド: ボランティアベースで作っているので誤り等があったらご指摘ください(松並さん)

2013-01-21 19:37:25
ENDO Yasuyuki @eyasuyuki

#securedroid NG例ではなく安全な例を前面に出して説明>セキュアコーディングガイド

2013-01-21 19:38:29
ENDO Yasuyuki @eyasuyuki

#securedroid セキュアなサンプルコード<コピペで使うのを推奨

2013-01-21 19:38:51
ENDO Yasuyuki @eyasuyuki

#securedroid 現場で10年以上セキュアコーディングのアドバイスをしているが、脆弱なコードがたくさんコピペされている

2013-01-21 19:39:53
ENDO Yasuyuki @eyasuyuki

2.Androidアプリの脆弱性の事例とガイド #securedroid

2013-01-21 19:40:46
ENDO Yasuyuki @eyasuyuki

#securedroid 2012年に入ってからAndroidアプリの脆弱性が急増 (IPA資料)

2013-01-21 19:41:28
ENDO Yasuyuki @eyasuyuki

#securedroid 報告された脆弱性は初歩的な不備が多い (ファイルアクセス制御など)

2013-01-21 19:43:23
ENDO Yasuyuki @eyasuyuki

#securedroid 本当にあったAndroidアプリの脆弱性

2013-01-21 19:45:00
ENDO Yasuyuki @eyasuyuki

#securedroid JVN #31860555 某twitterアプリの脆弱性 攻撃シナリオ: 1,マルウェアが端末内画像URL(file://..)生成 2.マルウェアがアプリの画像アップロード機能を呼び出してURLを渡す 3.アプリは指定された画像を添付してtweet

2013-01-21 19:47:53
ENDO Yasuyuki @eyasuyuki

#securedroid 脆弱性の原因: 画像アップロードActivityが外部に公開されていた。対策: Activityを非公開にする

2013-01-21 19:48:47
ENDO Yasuyuki @eyasuyuki

#securedroid セキュアコーディングガイドでどう書いているか: AndroidManifest.xml で activity要素のexported属性を"false"にする

2013-01-21 19:50:49
ENDO Yasuyuki @eyasuyuki

#securedroid JVN #67435981 某リアルタイムコミュニケーションアプリの暗黙Intentの扱いに関する脆弱性

2013-01-21 19:51:37
ENDO Yasuyuki @eyasuyuki

#securedroid 攻撃シナリオ: 1.マルウェアのインストールされている端末でアプリからメッセージを送信する 2.送信したメッセージの情報をBroadcastしているためマルウェアはその情報を読むことができる

2013-01-21 19:52:42
ENDO Yasuyuki @eyasuyuki

#securedroid Androidの入門書等ではインテントの良さを説明するために暗黙のインテントの説明を最初にしてしまうが、暗黙のインテントを使うとすべてのアプリに情報が知られてしまう

2013-01-21 19:55:09
ENDO Yasuyuki @eyasuyuki

#securedroid JVN #92038939 某SNSアプリの情報管理不備の脆弱性

2013-01-21 19:55:49
ENDO Yasuyuki @eyasuyuki

#securedroid 脆弱性の原因: 友人の発言の保存先がSDカードに書かれていた 対策:非公開ファイルに保存する

2013-01-21 19:57:06
ENDO Yasuyuki @eyasuyuki

#securedroid セキュアコーディングガイドでは: openFileOutputメソッドでMODE_PRIVATEを指定する

2013-01-21 19:58:03
残りを読む(40)

コメント

コメントがまだありません。感想を最初に伝えてみませんか?