ドキッ★脆弱性 onCreate() から onDestroy() まで
■対象者 初心者〜上級者。 Androidアプリで実際に公開された脆弱性について興味のある方。 脆弱性はバグです。バグは必ず産まれるものです。例えセキュアコーディングガイドを隅から隅まで暗証してたとて、予期せず脆弱な実装は世にでるでしょう。本発表ではJVN49343562とJVN61297210が付与されたAndroidアプリ「マネーフォワード」の「WebView クラスに関する脆弱性」「任意の操作が実⾏可能な脆弱性」について、下記のアジェンダ(仮)でご紹介いたします。 - 脆弱性対応タイムライン - 脆弱な実装の紹介 - 脆弱な実装の修正 - 脆弱な実装の背景 - 俺たちはどう脆弱性に向き合っていくのか こういたノットベスト・プラクティスを共有することで、世の中のアプリの品質がより高くなることを願っています。又、一歩踏み込んでこういったバグをも知見としてオープンに共有できる文化作りに一端
Android 7.0 が発表されたわけだが
With more ways to make Android your own, Android Nougat is our sweetest release yet. Android 7.0 が発表されて、報道も多い。前職での端末開発は Android 5.0 ぐらいまで、Android 6.0 は調査しかしてないし、最新の 7.0系となるともうNDAベースの情報が入る立場でもないし、オープンソースのAOSPも目を皿のようにして追う時間は再就職活動の中ではないので表面的な発表を眺めているだけだけど。 ただ、もうこの領域は、日本はもうだめなんだろうな。開発だけじゃなくて、利用の面でも暗くなっていく。先日のポケモンGOリリースで、「ポケモンGOが動かない」ということで、Android端末の買い替えがそこら中で発生していた。ポケモンGOのAndroid版でのバージョン要件は Android 4
新サービス「Tao RiskFinder 」をリリースしました
本日、2013年4月16日よりAndroidアプリの脆弱性を診断する『Tao RiskFinder(タオ リスクファインダー)』をリリースします! 『Tao RiskFinder』は、アンドロイドアプリケーションの脆弱性を診断するウェブサービスです。 開発知識は不要で、アプリケーションファイルとブラウザを用意するだけですぐに診断結果を得ることができます。 タオソフトウェアの新しいサービスとしては、2010年5月の「ドロクリ」以来、実に3年ぶりの新サービスのリリースとなります。 製品ロゴはこんな感じです。「リスクファインダー」という固めの名前ですが、可愛い感じでまとめてみました。やっぱり可愛くないとね! 折角なので、Tao RiskFinderを作成することになった経緯について語らせてください。 タオソフトウェアは、アンドロイドが発表されたのとほぼ同時くらいに研究開発を開始しました。日本のア
アンドロイドスマートフォンプライバシーガイドライン
「アンドロイドスマートフォンプライバシーガイドライン by タオソフトウェア」は、総務省のスマートフォンプライバシーイニシアティブに沿って、アンドロイドのアプリケーションプログラマが、 利用者が安心して利用できるアプリケーションを効率的に設計し、公開が行えるよう支援することを目的として、 アンドロイドのアプリケーションプライバシーガイドラインとしてまとめたものです。 総務省のスマートフォンプライバシーイニシアティブを原文として、アンドロイドのアプリケーションプログラマ(アプリケーション提供者)に必要な事項をピックアップし、 アンドロイド特有の要件を追加して再構成しました。 また、プライバシーポリシーの記載方法など、実際の運用に役立つように記載をしています 多くの方に利用して頂けたらと思いApatch License2として無償にて公開致しております。 一つでも多くのアプリケーションがプリバ
2012/10/06(#securedroid)Androidセキュリティ勉強会
zaki50 @zaki50 JAGのMLに "Androidに定義されているパーミッションと、実行にそのパーミッションが必要なメソッドの対応表のようなものは、どこかに公開されていたりするのでしょうか?" って質問来てたけど見た記憶ある人いるかな?わたしは無いので無いと回答したけどもし知ってたらよろしくです 2012-10-05 22:53:44
IPAテクニカルウォッチ 『Androidアプリの脆弱性』に関するレポート:IPA 独立行政法人 情報処理推進機構
IPA(独立行政法人情報処理推進機構、理事長:藤江 一正)は、IPAに届け出られるAndroidアプリの脆弱性関連情報が2011年後半から増加していることを踏まえ、それらを分析して脆弱性を作り込みやすいポイントをまとめ、技術レポート「IPAテクニカルウォッチ」として公開しました。 近年、Android端末の利用者の増加に伴い、多くのAndroidアプリが提供されるようになりました。そのような状況の中、2011年後半からIPAに届け出られるAndroidアプリの脆弱性関連情報も増加しており、2012年5月末までの累計で42件の届出がありました。届出を分析した結果、その7割超が「アクセス制限の不備」の脆弱性であることがわかりました。 「アクセス制限の不備」の脆弱性は、制限が適切に実施されていないために、非公開または公開を限定すべき情報や機能に対するアクセスを第三者に許してしまう問題です。 An
「Androidアプリのセキュア設計・コーディングガイド」、JSSECが公開
日本スマートフォンセキュリティフォーラム(JSSEC)は2012年6月11日、「Androidアプリのセキュア設計・セキュアコーディングガイド」を公開した。Androidアプリの安全性の高いコーディング方法、サンプルコードとともに解説している。 ガイドではActivtyの作成と利用、Broadcastの送受信、Content Providerの作成と利用、Seviceの作成、SQLiteの仕様、ファイルの扱い、パスワード入力画面の作り方、PermissionとProtection Levelの扱いなどについてコーディングのルールを提示している。 また内容に対するパブリックコメントも受け付けている。「最新かつその時点で正しいとおもわれることをできるだけ記載・公開し、間違いがあればフィードバックをいただいて常に正しい情報に更新する」(JSSEC)。 「Androidアプリのセキュア設計・セキュ
Google Playストアのマルウェア検知機能「Bouncer」回避が実証される。 - すまほん!!
ITMediaエンタープライズが報じたところによると、セキュリティ研究家がGoogle Playマーケットでマルウェアを自動で検知する「Bouncer」を回避して、問題のあるアプリケーションがPlayストアで配布できることを実証したそうです。 米GoogleのAndroid端末向けアプリ配信サービスで不正なアプリを自動検出する機能「Bouncer」をめぐり、セキュリティ研究者がこの機能をかわして不正なアプリを配信できてしまうことを実証したと発表した。 セキュリティ企業Duo Securityのジョン・オーバーハイデ最高技術責任者と著名なセキュリティ研究者のチャーリー・ミラー氏は、米ニューヨークで開催のセキュリティカンファレンス「SummerCon」でこの問題を実証するデモを実施。ブログで一端を紹介している。 (省略) 引用元:Google Bouncerの検出を回避して不正アプリを配信、研
難読化していないAndroidアプリケーションは脆弱性か
このエントリでは、Androidアプリケーションにおいて、難読化が施されていない場合、脆弱性にあたるかについて議論します。 はじめに Androidアプリケーションは主にJava言語で記述され、DEX形式のファイルにコンパイルされたコードを、DalvikというJava互換VM上で実行します。DEXおよびAPKファイルの仕様は公開されており、DEXにはクラスやメソッド等のシンボル名も含まれているため、リバースエンジニアリングが容易であると言われています。このため、Android SDKには標準でProGuardという難読化ツールが添付されています。 それでは、難読化の目的はそもそも何で、難読化でその目的は達成されるのでしょうか。 難読化の目的 Webアプリケーションの場合は、重要なロジックは主にサーバー側に存在するため、ソースコードを外部から取得することはできません。これに対して、スマートフ
Android Marketの用心棒、マルウエアをスキャンする「Bouncer」
Android向けのマルウエアが急増し、セキュリティへの不安を抱くユーザーが増える中で、米グーグルがAndroid向けアプリケーションの公式ストア「Android Market」にマルウエアスキャン機能「Bouncer」(開発コード名)を導入していることを明らかにした。これを受けて、セキュリティベンダーもブログに関連する話題を掲載している。例えば英ソフォスは、Bouncerの概要についてを解説している。 Bouncerは新たなアプリケーションがAndroid Marketで公開される前に、不正な機能や振る舞いがないかどうかを分析する。静的解析コンポーネントと動的解析コンポーネントで構成し、自動マルウエア分析に精通している人ならよく知っている高度なアーキテクチャーと組み合わせているという。 静的解析の部分はすべてのアプリケーションの特徴を監視し、アプリケーションコードやメタデータなどを調べる
書籍「Android Security」の暗号鍵生成方法には課題がある - ockeghem's blog
書籍「Android Security 安全なアプリケーションを作成するために」は既に各方面で絶賛されているように、Androidアプリケーションの開発者には必携の書籍だと思いますが、新しい分野だけに、首をひねらざるを得ない箇所もありました。このエントリでは、同書第10章「暗号化手法」から共通鍵の生成方法について議論します。 はじめに 書籍「Android Security」(業界では「タオ本」と呼ばれているので、以下タオ本と記述)の10章では、端末内のファイルを暗号化して保存する手法について説明されています。その際に問題となるのが、鍵の生成と保管の方法です。スマートフォン端末、とくにAndroid端末は、アプリケーションのリバースエンジニアリングとルート化の可能性は常にあるため、あらゆる場合にも破られない暗号化というものはありません。このため、守るべき情報資産と、想定する脅威(言い換え
Androidアプリの解読・改ざんを防ぐ難読化ツールとは - @IT
Androidの普及に伴い、Javaソースコード難読化ツールへの注目が高まっている。Androidアプリをリバースエンジニアリングの悪用から守るためである。 Androidアプリは、Java言語によるソースコードを、実行環境であるDalvik仮想マシン用の中間コードに変換して配布する。 このような中間コードと仮想マシンを用いる実行環境には強力なメリットがある一方、ネイティブコード(機械語)に比べてリバースエンジニアリングが非常に容易であるという特性がある。中間コードからソースコードを復元する「逆コンパイラ(デコンパイラ)」と呼ぶツールがあるためだ。 究極の問題解析ツール、逆コンパイラJD-Eclipseとは (1/2) - @IT @IT:Java TIPS -- Eclipseで逆コンパイルを行う 無償の逆コンパイラ「ILSpy」を利用するには?[C#] - @IT リバースエンジニアリ
どれを選ぶ? Android端末向けセキュリティ対策ソフト比較
日本でも徐々にシェアを伸ばしているAndroid端末。OSのバージョンアップに伴い、実現できる機能もさらに充実してきた。Android端末といえば、良くも悪くもそのオープン性が特徴だ。端末自体のカスタマイズだけでなく、スマートフォン人気を後押しするアプリケーションも自由に開発ができる。書店やコンビニエンスストアでは、関連する書籍や雑誌が数多く置かれている。 一方、セキュリティの観点で見たAndroid端末は、2010年に海賊版のアプリケーションを悪用したウイルスが発見されるなど、AppleのiOS端末と比較して脆弱性が多いといわれている(関連記事:Android端末はなぜ危険か)。管理の観点でも、OSのバージョンや各端末メーカーの仕様によって端末固有のセキュリティ機能にバラつきがあるなど、一元管理が困難となっている。 スマートフォンは、端末が持つ「パスワード設定」や「アプリケーションのダウ
Home - Broadcom Community - Discussion Forums, Technical Docs, Ideas and Blogs
Broadcom Software Academy We are pleased to announce the launch of the redesigned and upgraded Broadcom Software Academy. Enterprise Software Industry analysts agree: a scalable, open and flexible digital business technology platform is mandatory for digital business success. Explore our capabilities NetOps Virtual Summit Discover how leading organizations are using DX NetOps and AppNeta to assure
シマンテック、iOSとAndroidのセキュリティを比較評価 : セキュリティ・マネジメント - Computerworld.jp
[米国] シマンテック、iOSとAndroidのセキュリティを比較評価 ほとんどの分野でiOSに軍配、両OSともフィッシング対策に不備 (2011年06月29日) 米国Appleの「iOS」と米国Googleの「Android」というスマートフォン・プラットフォームは、いずれも従来のデスクトップOSよりも安全だが、既存のさまざまな攻撃に脆弱である――セキュリティ・ソフトウェア・ベンダーの米国Symantecは、6月28日に発表した23ページのホワイトペーパーでそう指摘している。 幸いなことに、AppleとGoogleは、セキュリティを考慮に入れてそれぞれのOSを設計した。しかし、絶えず変化する脅威状況に対応していくのは容易なことではない。Symantecはこのホワイトペーパー「A Window into Mobile Device Security」で、iOSとAndroidについて、
オープンゆえにリスクも高いAndroid
2011年夏商戦向けに、NTTドコモやKDDI、ソフトバンクモバイルの携帯電話3社はAndroid(アンドロイド)スマートフォンの新製品を多数投入する。全部で20機種前後が登場する見通しだ。米グーグルのOS、Androidの魅力は「オープン」であること。OSのライセンス料がフリーで仕様も公開されているため、端末やアプリケーションを開発しやすいのに加え、ユーザーがアプリケーションを自由にインストールできる。それだけに、マルウエア(不正なプログラム)[注1]も登場しやすく、パソコンと同等以上のセキュリティ対策が欠かせない。 米グーグルのAndroidは、アプリケーションを自由に配布、販売できるなど、オープン性に特徴があるOSだ。セキュリティ対策に関しても、グーグルが機能やサービスを一通りそろえているわけではなく、サードパーティーのセキュリティサービスや製品を選び組み合わせる“自衛策”が求められ
Androidユーザーに悪夢再来か
米シマンテックが、Androidを狙った新たなマルウエア「Android.Lightdd」についてブログで説明している。 Android.Lightddは、「Android.Rootcager」(別名「Droid Dreams」)の後続種と見なされているという。Droid Dreamsは、Android端末のルート権限を奪おうとするマルウエアで、同種のマルウエアとしては最初にユーザー環境で検出された。 ただLightddにはトロイの木馬化されたパッケージが加えられており、パッケージの名前が「lightdd」で終わっている。検出当初の報告では、Lightddが関連しているパブリッシャーのアカウントは5件だったが、シマンテックはさらにもう1件発見した。いずれのアカウントも現在は停止になっているという。 写真●Android.Lightddを説明する画像 LightddがDroid Dreams
感染したら最悪の結果に!スマホを乗っ取る怖いウイルス【役立つセキュリティ】 - ライブドアニュース
Androidのルート権限(管理者権限)奪取の脆弱性を狙う、新たなウイルス「Trojan:Android/DroidKungFu.A」が発見されました。 このウイルスは、トロイの木馬と化したアプリケーションに埋め込まれており、自身を隠蔽するためにルートアクセスを必要とする可能性があります。感染してしまうと、第三者によって遠隔からファイルを削除されたり、URLをオープンするコマンドや、任意のAPKをダウンロードし、アプリケーションを実行するするコマンドを送ることができるようになります。更に恐ろしいことに、携帯端末のアイデンティティともいえる端末の識別番号、電話番号、キャリア名、OSのバージョンなどが抜き取られてしまいます。 ルート権限の奪取が成功すると、システム領域への侵入が可能となってしまい、一旦システムに入り込んでしまったウイルスは、通常のセキュリティソフトでは駆除ができません。なぜなら
Android 用アンチウイルス/セキュリティソフト。無料+有料計19本、まとめ。 « タメハ
2011/09/29 更新: 2012/01/23 大幅更新:アプリ数も17本に 2012/05/26 さらに大幅更新:アプリ数も19本に Android 用アプリには自由と便利なソフトがいろいろある反面、セキュリティ上の心配もされています。とくに、Android Market 以外で公開されている、“野良アプリ” には悪意のあるアプリの可能性もあります。事実、Android 端末を狙った不正ソフト、不正サイトが報告されています。1 逆に言いますと、セキュリティ会社には、おいしい市場。Android 端末向けのセキュリティソフトを各社が矢継ぎ早に発表しています。乱立する Android 用のアンチウイルスソフト、セキュリティソフトを無料アプリ12本+有料版のみ提供アプリ7本、計19本をまとめてみました。 有償、無償を問わず、有名どころを中心に一通り。 「無料版 -> 体験版(ベータ版、暫定
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
WebView の脆弱性編 - Android セキュリティ勉強会