に行って来ました。
と言うことで、メモを投下します。
JSSECとセキュアコーディングガイド
- JSSEC(ジーセック):日本スマートフォンセキュリティ協会
- JSSEC | 一般社団法人日本スマートフォンセキュリティ協会
- ガイド文書などを作成して公開したり
- 基本ボランティア活動
- ゆるい感じ
- 個人参加するには、Androidセキュリティ部に入る
- セキュアコーディングガイド
- セキュアコーディングのTipsを集めて公開・共有しようというガイド
- 色々ネット上にある情報を精査、他のOSバージョンまで調べてやっている
- 間違っていることもあるかもしれないが、タイムリーに配信するのを目指している
- 現場で使えるガイドを目指している
- 開発者のやりたいこと視点で書いている
- べからず集ではなく、目的を達成するための目次
- セキュアなサンプルコードを載せる。基本的にコピペで使える
- ソースコードの注意事項がコード上に乗っている
- 脆弱なコードがコピペされないようにする
Androidアプリ脆弱性の事例とガイド
- 2012年に入ってから脆弱性の報告が急増している
- 脆弱性の傾向
- 初歩的な不備が多く指摘されている
- パーミッションまわりとか
- 初歩的な不備が多く指摘されている
- 事例
- これらの事例では脆弱性が報告されただけで、実際に被害はなかった。そして、修正済み。
- 1. ネットワークへのアクセス権限を持たないアプリが某投稿アプリの権限で画像をアップロードできる
- 2. 某リアルタイムコミュニケーションアプリにおける暗黙的Intentの扱いに関する脆弱性
- 3. 某SNSアプリにおける情報管理不備の脆弱性
- 修正済み
- アプリがデータをSDカードに保存
- 保存したデータをマルウェアがごにょっていた
- SDカードは読取りが出来てしまうので、SDカードには重要なデータを置かない
- アプリケーション用のディレクトリに、非公開として置くこと(MODE_PRIVATE)
- ファイルパスを直打ちしてしまうケースもあります。
- 4. 某魔法少女アプリにおける情報漏えいの脆弱性
- 修正済み
- Twitter連携機能でIDとパスワードが見れてしまう
- LogcatにIDとパスワードを出力してしまっている
- Logには注意する
- Progardで自動的に削除する
- 次の版でガイドに追加される
- 5. 某オンラインストレージアプリにおけるContentProviderアクセス範囲の脆弱性
- 知っていれば防げるものばかりである
Androidアプリのセキュリティ
- セキュリティの考え方
- 1. 資産
- 2. 脅威
- 3. 対策
- 脅威から資産を守る保護施策をセキュリティ対策と言う
- どれくらい守るのか?すべての脅威に対策するのは無理がある。
- 資産の重要度に応じて妥当な保護施策を決定する。
- 重要度で分類
- 高位では、rootやdexの改造などの高度な攻撃に対しても保護する必要がある。セキュアコーディングガイドでは範囲外。
- 中位では、Androidのセキュリティレベルを活用する。UI/UX等の要素よりセキュリティを優先させる
- 下位では、UI/UX等の要素とを比較して、他要素を優先させても良い
ご協力のお願い
- 第3版を出そうとしています
- WebViewとHTTPSに関する脆弱性ネタが多いので多数報告されているので追加します
- 第2版
- ローカライズしようとしている
- 人手不足で対応できていない
- 作業環境
- 基本的にオンライン
- GoogleGroup / Redmine / git, subversion
- ボランティア協力してくださる方を探しています
Android Security 安全なアプリケーションを作成するために
- 作者: タオソフトウェア株式会社
- 出版社/メーカー: インプレスジャパン
- 発売日: 2011/12/29
- メディア: 大型本
- 購入: 6人 クリック: 141回
- この商品を含むブログ (27件) を見る
