![](https://tgfile.tg-static.com/static/web/img/placeholder.gif)
ユナイテッドエアラインのモバイルアプリに脆弱性が見つかったニュースについて、少しコメント致します twitter.com/threatpost/sta…
2015-12-03 17:54:42![](https://tgfile.tg-static.com/static/web/img/placeholder.gif)
United Airlines delays patching IODR vulnerability in mobile app for 6 months. threatpost.com/united-airline… via @threatpost
2015-11-25 00:13:51![](https://tgfile.tg-static.com/static/web/img/placeholder.gif)
脆弱性はIndirect Object Reference Vulnerabilityとして知られるもので、フライト予約と顧客データを操作できてしまうというもので、APIのエンドポイントで見つかったとのこと
2015-12-03 18:26:27![](https://tgfile.tg-static.com/static/web/img/placeholder.gif)
この脆弱性はボーナス付きのバグ発見プログラム期間中に報告されたものの、およそ6ヶ月間パッチが当てられなかった、とのこと
2015-12-03 19:03:43![](https://tgfile.tg-static.com/static/web/img/placeholder.gif)
まず、アプリ自身に問題はなくとも接続している第三者のAPIに脆弱性があれば、それはアプリの脆弱性になるということ
2015-12-04 11:39:08![](https://tgfile.tg-static.com/static/web/img/placeholder.gif)
アプリの全ての通信先をご存知ですか? 広告やアナリティクスなどの、外部SDKを組み込む例も多いでしょう
2015-12-04 11:40:17![](https://tgfile.tg-static.com/static/web/img/placeholder.gif)
CA MAAでは、URL毎に以下を監視できます ・リクエスト送信数 ・エラー数 ・平均応答時間 ・送受信データ量 pic.twitter.com/ZPOJT4333B
2015-12-07 13:56:13![](https://pbs.twimg.com/media/CVmPw5gUYAExDac.png:medium)
![](https://tgfile.tg-static.com/static/web/img/placeholder.gif)
バリデーション用のコードを埋め込み結果を収集すれば良いのです CA MAA なら、簡単に実現できます
2015-12-04 11:59:43![](https://tgfile.tg-static.com/static/web/img/placeholder.gif)
以前ご紹介した、カスタムメトリクスを利用します twitter.com/camaajp/status…
2015-12-04 12:02:11![](https://tgfile.tg-static.com/static/web/img/placeholder.gif)
アプリ上で問題がいつ発生し、何日間解決されておらず、それによる影響範囲はどうなのかを把握しておく事の重要性 それにより問題対応の優先順位付けも変わります
2015-12-04 17:49:33![](https://tgfile.tg-static.com/static/web/img/placeholder.gif)
CA MAAのクラッシュレポートで、発生しているクラッシュの影響を確認。 問題解決のための意思決定を支援します pic.twitter.com/GR0e20eDU8
2015-12-07 14:53:29![](https://pbs.twimg.com/media/CVmc3qvUkAAeCat.png:medium)
![](https://tgfile.tg-static.com/static/web/img/placeholder.gif)
CA MAA のクラッシュレポートで、発生した個々のクラッシュについて、 発生時のデバイスの状態と、アプリの実行詳細を確認できます pic.twitter.com/S3luWeMjTp
2015-12-08 10:28:29![](https://pbs.twimg.com/media/CVqpzksUkAAawnh.png:medium)
![](https://tgfile.tg-static.com/static/web/img/placeholder.gif)
さらに、アプリを起動してからクラッシュに至るまでの一連のセッションを、見える化します。 セッションを動画で再生すれば、ユーザーがどういう操作をしてクラッシュに至ったかを直感的に把握できます pic.twitter.com/jlPYFlsJJR
2015-12-08 11:29:18![](https://pbs.twimg.com/media/CVq3ugRWsAAWWnc.jpg:medium)
![](https://tgfile.tg-static.com/static/web/img/placeholder.gif)
このようなセッション記録は、クラッシュ発生だけでなく、任意のアラート(閾値超えを起こしたメトリック)とリンクしています
2015-12-08 11:31:24![](https://tgfile.tg-static.com/static/web/img/placeholder.gif)
第三者のAPIやSDKを組み込む際にセキュリティの他にも考慮すべき事があります プライバシーの保護です
2015-12-07 09:05:46![](https://tgfile.tg-static.com/static/web/img/placeholder.gif)
すべてご存知ですか? ユーザーのモバイルデバイスから、どんなデータが収集されているのか? 収集されたデータを誰がどこで管理しているのか? 収集されたデータが第三者に利用されていないかどうか?
2015-12-08 17:19:33![](https://tgfile.tg-static.com/static/web/img/placeholder.gif)
CA MAA は、個人が特定できる様なデータを一切収集しません。 詳しくは、こちらをご参照ください CA Mobile App Analytics のデータ収集機能とプライバシー保護について slideshare.net/camaajp/ca-mob…
2015-12-08 17:25:47![](https://tgfile.tg-static.com/static/web/img/placeholder.gif)
また、収集したデータは、 ・弊社のSaaS環境内 または ・お客様のオンプレミス環境内 にて管理されます
2015-12-08 17:33:18