#abc2014s 聴講メモ セキュアなAndroidアプリは簡単に作れるんです!


セキュアなAndroidアプリは簡単に作れるんです!

  • ソニーデジタルネットワークソリューションズ株式会社
  • 松並勝さん

モバイルシフト

  • AndroidがWindows+Mac+iOSを足したより多く売れている
  • モバイルはまだ延びしろがある
  • モバイル経由の売り上げが延びている。楽天は4割以上。アメリカは半分。
  • スマホブラウザ対応からネイティブアプリ対応へ
    • マーケティング的には「起動まで一手間だけ」というのが大きい。ブックマークより有利。
    • サイトと違ってプッシュ通知がある
    • ビジネスに使いたくなる情報が沢山

アプリ脆弱性の話

  • ウイルスアプリ、迷惑なアプリ、脆弱性のあるアプリ の3つに分類出来る
  • 2013年、IPAへのAndroidアプリ脆弱性の届け出が急増(半分がAndroid)
  • JVN iPediaに登録されている
  • 96%のアプリに脆弱性が含まれている可能性がある(6000アプリ調査結果)

  • 知っていれば防げた簡単なものばかり

  • 脆弱性の事例

    • 勝手に画像をツイートされてしまうTwitterアプリ
      • ほかのアプリからのIntentを受け付けていた
      • 必要ないならExportしない!
    • Twitterアカウントが乗っ取られるアプリ
      • ログにIDとパスワードを出力していた
      • Log.d()とLog.v()をProGurdで自動削除

セキュアなアプリ開発方法

  • セキュアアプリ開発三種の神器

    • JSSECセキュアコーディングガイド、JSSECセキュアDVD、ツール
      DSC_3984
  • Androidセキュリティの教科書

解説DVD 3000円

  • 90分のDVDをひととおり見るとガイドのどこを読んでもすぐ理解できるようになる
    DSC_3988
    DSC_3989

Secure Coding Checker

  • デファクト基準で検査
  • 修正方法も表示
  • apkをアップロードすると解析
  • エビデンスとして残せる

検査→学習→修正 のループを回せる

DSC_3998
DSC_3999

一般的な利用状況

  • 開発初期に3日程度の対策で0件を実現した後は、アプリのリリース日まで0件をキープ!
  • 最後に脆弱性チェックをするとリリースに間に合わない!

脆弱性グラフが出るところまでは無償

Appendix

シェアする

  • このエントリーをはてなブックマークに追加
  • 0

フォローする

コメントをどうぞ

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

CAPTCHA