Androidセキュリティ勉強会(1/21)セキュアコーディングガイドについて

2013年1月21日に開催の、Androidセキュリティ勉強会のまとめです。 http://www.securedroid.org/2012/12/20131.html
2
ENDO Yasuyuki @eyasuyuki

#securedroid Androidセキュリティ勉強会開始10分前

2013-01-21 19:19:23
ENDO Yasuyuki @eyasuyuki

#securedroid セキュアコーディングガイドについて JSSEC松並さん

2013-01-21 19:31:34
ENDO Yasuyuki @eyasuyuki

#securedroid Androidアプリを開発した事がある人挙手=半数以上

2013-01-21 19:32:13
ENDO Yasuyuki @eyasuyuki

#securedroid 1.JSSECとセキュアコーディングガイド 2.Androidアプリの脆弱性の事例とガイド 3.Androidアプリのセキュリティ 4.協力のお願い

2013-01-21 19:33:10
ENDO Yasuyuki @eyasuyuki

#securedroid JSSECのせつめい

2013-01-21 19:34:21
ENDO Yasuyuki @eyasuyuki

#securedroid JSSEC成果物: Androidアプリのセキュア設計・セキュアコーディングガイド http://t.co/vT25CQfq

2013-01-21 19:36:10
ニシダマサタ @masata_masata

Androidセキュリティ勉強会に来た。 JSSECのセキュアコーディングガイドのお話。 #securedroid

2013-01-21 19:36:26
ENDO Yasuyuki @eyasuyuki

#securedroid セキュアコーディングガイド: ボランティアベースで作っているので誤り等があったらご指摘ください(松並さん)

2013-01-21 19:37:25
ENDO Yasuyuki @eyasuyuki

#securedroid NG例ではなく安全な例を前面に出して説明>セキュアコーディングガイド

2013-01-21 19:38:29
ENDO Yasuyuki @eyasuyuki

#securedroid セキュアなサンプルコード<コピペで使うのを推奨

2013-01-21 19:38:51
ENDO Yasuyuki @eyasuyuki

#securedroid 現場で10年以上セキュアコーディングのアドバイスをしているが、脆弱なコードがたくさんコピペされている

2013-01-21 19:39:53
ENDO Yasuyuki @eyasuyuki

2.Androidアプリの脆弱性の事例とガイド #securedroid

2013-01-21 19:40:46
ENDO Yasuyuki @eyasuyuki

#securedroid 2012年に入ってからAndroidアプリの脆弱性が急増 (IPA資料)

2013-01-21 19:41:28
ENDO Yasuyuki @eyasuyuki

#securedroid 報告された脆弱性は初歩的な不備が多い (ファイルアクセス制御など)

2013-01-21 19:43:23
ENDO Yasuyuki @eyasuyuki

#securedroid 本当にあったAndroidアプリの脆弱性

2013-01-21 19:45:00
ENDO Yasuyuki @eyasuyuki

#securedroid JVN #31860555 某twitterアプリの脆弱性 攻撃シナリオ: 1,マルウェアが端末内画像URL(file://..)生成 2.マルウェアがアプリの画像アップロード機能を呼び出してURLを渡す 3.アプリは指定された画像を添付してtweet

2013-01-21 19:47:53
ENDO Yasuyuki @eyasuyuki

#securedroid 脆弱性の原因: 画像アップロードActivityが外部に公開されていた。対策: Activityを非公開にする

2013-01-21 19:48:47
ENDO Yasuyuki @eyasuyuki

#securedroid セキュアコーディングガイドでどう書いているか: AndroidManifest.xml で activity要素のexported属性を"false"にする

2013-01-21 19:50:49
ENDO Yasuyuki @eyasuyuki

#securedroid JVN #67435981 某リアルタイムコミュニケーションアプリの暗黙Intentの扱いに関する脆弱性

2013-01-21 19:51:37
ENDO Yasuyuki @eyasuyuki

#securedroid 攻撃シナリオ: 1.マルウェアのインストールされている端末でアプリからメッセージを送信する 2.送信したメッセージの情報をBroadcastしているためマルウェアはその情報を読むことができる

2013-01-21 19:52:42
ENDO Yasuyuki @eyasuyuki

#securedroid 対策: 明示的Intentを使う

2013-01-21 19:53:21
ENDO Yasuyuki @eyasuyuki

#securedroid Androidの入門書等ではインテントの良さを説明するために暗黙のインテントの説明を最初にしてしまうが、暗黙のインテントを使うとすべてのアプリに情報が知られてしまう

2013-01-21 19:55:09
ENDO Yasuyuki @eyasuyuki

#securedroid JVN #92038939 某SNSアプリの情報管理不備の脆弱性

2013-01-21 19:55:49
ENDO Yasuyuki @eyasuyuki

#securedroid 脆弱性の原因: 友人の発言の保存先がSDカードに書かれていた 対策:非公開ファイルに保存する

2013-01-21 19:57:06
ENDO Yasuyuki @eyasuyuki

#securedroid セキュアコーディングガイドでは: openFileOutputメソッドでMODE_PRIVATEを指定する

2013-01-21 19:58:03
1 3 次へ

いま話題のタグ

ファッション3703 地震3709 賞与18 台湾1283 追放されたチート付与魔術師は気ままなセカンドライフを謳歌する。12 美味しんぼ264 雁琳9 バニーガーデン4 ザ!鉄腕!DASH!!526 終電で終点へ109 ナガノ165 ソフィーのアトリエ7 腐女子726 ネットスラング122 FALLOUT21