スマートフォン勉強会@関東#24
Androidアプリが動作する一般的な構成例:Androidのアプリの場合はユーザー情報をアプリが持ち、Webサーバー側のサービスは全ユーザのデータをDBに持つのが一般的。 #sumaben
2013-04-27 16:20:33Rootを取ったユーザーがマルウェアをうっかりインストールしちゃうとか無いだろ…って言いたいけど結構有りそうでアレ #sumaben
2013-04-27 16:22:09攻撃者はインターネット上の中間で攻撃を仕掛けるばあいと、ユーザーがインストールしてしまったマルウェアの攻撃がある。通常はAndroidのつくり上ほかのアプリにアクセスできないが、root取られていると「あきらめてください」としか言えない #sumaben
2013-04-27 16:22:33一昨年やった某案件だと、こちらが用意したパラメータのリストと、実際に飛んできたパラメータの内容がテキスト完全一致しないと破棄するようにしたのを思い出した。 #sumaben
2013-04-27 16:32:35非公開Activityを作る・利用する場合 taskAffinityを指定しない、launchModeを指定しない、exported="false"を指定する、Intentの入力を必ずチェックする #sumaben
2013-04-27 16:32:51パートナー限定Activityを作る・利用する場合は利用先アプリの証明書がホワイトリストに掲載されていることを確認、送られるIntentの安全性を確認する #sumaben
2013-04-27 16:35:54SSLのMITM(Man in the Middle)問題 独自暗号化を推奨したが、実際にリバースされると暗号が解かれる。実際は鯖の証明書と合致しなければあぷりを終了する対策が必要。 #sumaben
2013-04-27 16:38:10[セキュリティ][android] / “JSSEC 日本スマートフォンセキュリティ協会” http://t.co/e03XXMekkT
2013-04-27 16:39:53Androidアプリの権限を確認する際、怪しいかどうかの判断は「アプリの(表向きな)機能と一致しない権限を求めてきている」事。例えば表向きはカメラアプリなのに、何故かアドレス帳へのアクセスを求めてくる、等。 #sumaben
2013-04-27 16:41:45