Androidセキュリティ勉強会(1/21)セキュアコーディングガイドについて
#securedroid 1.JSSECとセキュアコーディングガイド 2.Androidアプリの脆弱性の事例とガイド 3.Androidアプリのセキュリティ 4.協力のお願い
2013-01-21 19:33:10#securedroid JSSEC成果物: Androidアプリのセキュア設計・セキュアコーディングガイド http://t.co/vT25CQfq
2013-01-21 19:36:10#securedroid セキュアコーディングガイド: ボランティアベースで作っているので誤り等があったらご指摘ください(松並さん)
2013-01-21 19:37:25#securedroid 現場で10年以上セキュアコーディングのアドバイスをしているが、脆弱なコードがたくさんコピペされている
2013-01-21 19:39:53#securedroid JVN #31860555 某twitterアプリの脆弱性 攻撃シナリオ: 1,マルウェアが端末内画像URL(file://..)生成 2.マルウェアがアプリの画像アップロード機能を呼び出してURLを渡す 3.アプリは指定された画像を添付してtweet
2013-01-21 19:47:53#securedroid 脆弱性の原因: 画像アップロードActivityが外部に公開されていた。対策: Activityを非公開にする
2013-01-21 19:48:47#securedroid セキュアコーディングガイドでどう書いているか: AndroidManifest.xml で activity要素のexported属性を"false"にする
2013-01-21 19:50:49#securedroid JVN #67435981 某リアルタイムコミュニケーションアプリの暗黙Intentの扱いに関する脆弱性
2013-01-21 19:51:37#securedroid 攻撃シナリオ: 1.マルウェアのインストールされている端末でアプリからメッセージを送信する 2.送信したメッセージの情報をBroadcastしているためマルウェアはその情報を読むことができる
2013-01-21 19:52:42#securedroid Androidの入門書等ではインテントの良さを説明するために暗黙のインテントの説明を最初にしてしまうが、暗黙のインテントを使うとすべてのアプリに情報が知られてしまう
2013-01-21 19:55:09#securedroid 脆弱性の原因: 友人の発言の保存先がSDカードに書かれていた 対策:非公開ファイルに保存する
2013-01-21 19:57:06#securedroid セキュアコーディングガイドでは: openFileOutputメソッドでMODE_PRIVATEを指定する
2013-01-21 19:58:03