スマートフォン勉強会＠関東＃２４

高見知英 @TakamiChie

まあ、Googleも権利として認めちゃってる（らしい）現状ですからなあroot。 #sumaben

憲之助 @kogaken1

Androidアプリが動作する一般的な構成例：Androidのアプリの場合はユーザー情報をアプリが持ち、Webサーバー側のサービスは全ユーザのデータをDBに持つのが一般的。 #sumaben

ゆねばゆうた @YtYnb

Rootを取ったユーザーがマルウェアをうっかりインストールしちゃうとか無いだろ…って言いたいけど結構有りそうでアレ #sumaben

憲之助 @kogaken1

攻撃者はインターネット上の中間で攻撃を仕掛けるばあいと、ユーザーがインストールしてしまったマルウェアの攻撃がある。通常はAndroidのつくり上ほかのアプリにアクセスできないが、root取られていると「あきらめてください」としか言えない #sumaben

憲之助 @kogaken1

アプリの脆弱性を悪用する攻撃ファイルがアプリを攻撃するケースもある #sumaben

憲之助 @kogaken1

悪意のあるユーザーがアプリを攻撃するケースもある。 #sumaben

いっちゅう @icchu

非常に勉強になるセッション

憲之助 @kogaken1

スマートフォンの近くにいる悪意ある第三者が無線LANやBluetooth経由でアプリを攻撃するケース #sumaben

いっちゅう @icchu

すごい攻撃されてるｗ #sumaben

憲之助 @kogaken1

これらのケースに関しては一部を除いて対処のしようがある(root取られているとどうしようもないが) #sumaben

憲之助 @kogaken1

入力データの安全性をかくにんするのが最も基礎的で効果の高いセキュアコーディング作法 #sumaben

いっちゅう @icchu

確かにインテントには気をつけないとなー。 #sumaben

いっちゅう @icchu

うわー。言われてみればそうだなー。気をつけないと。 #sumaben

憲之助 @kogaken1

URIがインターネット上ではなく"file://～」で内部ファイルへアクセスするケースも想定する必要がある #sumaben

HTC J One @HTCJOne

これは見落としやすい脆弱性だな！ #sumaben

憲之助 @kogaken1

gifが展開した場合に10GByteに展開されるケースもある。 #sumaben

HTC J One @HTCJOne

一昨年やった某案件だと、こちらが用意したパラメータのリストと、実際に飛んできたパラメータの内容がテキスト完全一致しないと破棄するようにしたのを思い出した。 #sumaben

憲之助 @kogaken1

非公開Activityを作る・利用する場合　taskAffinityを指定しない、launchModeを指定しない、exported="false"を指定する、Intentの入力を必ずチェックする #sumaben

憲之助 @kogaken1

Activityを利用する側でも受信データの安全性を確認する #sumaben

憲之助 @kogaken1

パートナー限定Activityを作る・利用する場合は利用先アプリの証明書がホワイトリストに掲載されていることを確認、送られるIntentの安全性を確認する #sumaben

憲之助 @kogaken1

SSLのMITM(Man in the Middle)問題　独自暗号化を推奨したが、実際にリバースされると暗号が解かれる。実際は鯖の証明書と合致しなければあぷりを終了する対策が必要。 #sumaben

ゆたか @tmyt

リバースエンジニアリング

Fine Lagusaz @sesuna

[セキュリティ][android] / “JSSEC 日本スマートフォンセキュリティ協会” http://t.co/e03XXMekkT

HTC J One @HTCJOne

Androidアプリの権限を確認する際、怪しいかどうかの判断は「アプリの（表向きな）機能と一致しない権限を求めてきている」事。例えば表向きはカメラアプリなのに、何故かアドレス帳へのアクセスを求めてくる、等。 #sumaben

すまべん！ @sumaben

ust再開しました ( #sumaben live at http://t.co/yhKsGC1yq0)