[Android][セキュリティ]AccountManagerのソースコードを読む会ツイートまとめ

ikdk @ikdk

#androidSec getAuthToken() でトークンを取得して、使い終わったら invalidateAuthToken() で破棄する。

h12o @h12o

#AndroidSec 端末の認証とユーザの認証は一緒にしないこと。> 自分

Qooh0 @Qooh0

#AndroidSec オレオレ証明書は、ソケットレベルから色々しないといけないので、大変という話。オレオレは、なんでも受け入れるソケットファクトリを書く。 ダミーの場合は、GAE に接続テストをする。

h12o @h12o

#AndroidSec 証明書を使うアプリケーションのテストはGoogle App Engineにダミーのhttpsサーバを立てて行う。

Qooh0 @Qooh0

#AndroidSec minSdkVersion を設定しないと API レベル3 以下として扱われる。色々あって、ユーザーに許可を求める必要が出てくる可能性がでてくる。

ikdk @ikdk

#androidSec ご本人より説明 > 『AccountManagerService.addAccount での署名チェック先』 http://bit.ly/e2Xoa1

Qooh0 @Qooh0

#AndroidSec /usr/system にある accounts.db ( sqlite3 ) 内のaccounts table にユーザーデータが入っているっぽいね。

ikdk @ikdk

#androidSec accoutsDelete というトリガーが定義されていて、アカウントを消したら関連情報も消すようになっている。

ikdk @ikdk

#androidSec SQLite でも CREATE TRIGGER 書けるのですね。

おおた @ota42y

mixiやcookpadのアプリを入れるとaccountManagerでそれらのアカウントを管理できるようになるらしい。 #androidsec

ikdk @ikdk

#androidSec java.net.Authenticator http://bit.ly/dZt6ZA

h12o @h12o

#AndroidSec 標準のsdkにstraceがあるのだそうだ。

Qooh0 @Qooh0

#AndroidSec Authenticator を各サードパーティで追加しているっぽい。

おおた @ota42y

Authenticatorを追加することで、AccountManagerで管理するアカウントの種類を追加できる？ #AndroidSec

Qooh0 @Qooh0

#AndroidSec Android のパケットキャプチャツール ( Shark for Root ) ：http://bit.ly/gdEhAW

Qooh0 @Qooh0

#AndroidSec リバースエンジニアリングツール的な何か android-apktool : http://bit.ly/i34x4u

おおた @ota42y

Authenticatorはjava.netのパッケージみたい。 #AndroidSec

ikdk @ikdk

#androidSec 読んでる > AndroidのGoogle Authenticatorを解析(?)してみた http://bit.ly/foQLuI

Qooh0 @Qooh0

#AndroidSec Google Account Service Names( http://bit.ly/fXjYte )

Qooh0 @Qooh0

#AndroidSec Google のトークンは各種サービスごとに違う。アプリでは、invalidateAuthToken(String, String) を最後にかならず呼ぶようにしましょう。

Qooh0 @Qooh0

#AndroidSec ContentProvider - 共有の情報を使う。

Qooh0 @Qooh0

#AndroidSec autehnticator はハードウェアごとに違うっぽい。え？

sugimotoak @sugimotoak

#AndroidSec /data/system/accounts.db の extrasテーブルの中身が端末ごとに結構違うっぽい

Qooh0 @Qooh0

#AndroidSec パスワードは多くは SHA-1、docomo の一部機種は平文っぽい…。え？

h12o @h12o

#AndroidSec クラウドサービスへのログインは通常のパスワード。パスワードはDBに保存されている?!