#abc2014s 聴講メモ セキュアなAndroidアプリは簡単に作れるんです！

2014/4/1 Android, 勉強会メモ

セキュアなAndroidアプリは簡単に作れるんです！

• ソニーデジタルネットワークソリューションズ株式会社
• 松並勝さん

モバイルシフト

• AndroidがWindows+Mac+iOSを足したより多く売れている
• モバイルはまだ延びしろがある
• モバイル経由の売り上げが延びている。楽天は4割以上。アメリカは半分。
• スマホブラウザ対応からネイティブアプリ対応へ
  • マーケティング的には「起動まで一手間だけ」というのが大きい。ブックマークより有利。
  • サイトと違ってプッシュ通知がある
  • ビジネスに使いたくなる情報が沢山

アプリ脆弱性の話

• ウイルスアプリ、迷惑なアプリ、脆弱性のあるアプリ の３つに分類出来る
• 2013年、IPAへのAndroidアプリ脆弱性の届け出が急増（半分がAndroid）
• JVN iPediaに登録されている

• 96%のアプリに脆弱性が含まれている可能性がある（6000アプリ調査結果)

• 知っていれば防げた簡単なものばかり

• 脆弱性の事例

  • 勝手に画像をツイートされてしまうTwitterアプリ
    • ほかのアプリからのIntentを受け付けていた
    • 必要ないならExportしない！
  • Twitterアカウントが乗っ取られるアプリ
    • ログにIDとパスワードを出力していた
    • Log.d()とLog.v()をProGurdで自動削除

セキュアなアプリ開発方法

• セキュアアプリ開発三種の神器

  • JSSECセキュアコーディングガイド、JSSECセキュアDVD、ツール
    

• Androidセキュリティの教科書

  • 『Androidアプリのセキュア設計・セキュアコーディングガイド』
  • URL でダウンロード、サンプルコード付き、商用利用可能
  • デファクトスタンダード、総務省も推奨
  • 開発者のやりたいことに即したガイド
  • サンプルコードをコピペするだけでセキュアになる
    • コピペ推奨
      
      

解説DVD 3000円

• 90分のDVDをひととおり見るとガイドのどこを読んでもすぐ理解できるようになる
  
  

Secure Coding Checker

• デファクト基準で検査
• 修正方法も表示
• apkをアップロードすると解析
• エビデンスとして残せる

検査→学習→修正 のループを回せる

一般的な利用状況

• 開発初期に３日程度の対策で0件を実現した後は、アプリのリリース日まで０件をキープ！
• 最後に脆弱性チェックをするとリリースに間に合わない！

脆弱性グラフが出るところまでは無償

• https://scc-mini.sonydna.com/

Appendix

• バザールの写真

#abc2014s, Android