椿ブログDreaming to impact the world with the Internet! Wife of Brazilian:) Based in Tokyo. Live socially Make people more Happy!
「Androidアプリを作っている(作ってもらっている)けど、脆弱性が心配」という声はtwitterでも目にすることがあります。そして、「『安全なウェブサイトの作り方のAndroidアプリ版』があったらいいのに」という希望を目にしたこともあります。 6月13日にIPAから公表された「IPA テクニカルウォッチ『Androidアプリの脆弱性』に関するレポート」は、この『安全なウェブサイトの作り方のAndroidアプリ版』に相当する位置づけのドキュメントです。なぜそう思うかというと、以下の性格が『安全なウェブサイトの作り方』と共通するからです。 Androidアプリの基本的な問題に絞っている 届出の多い脆弱性にフォーカスしている 以下、もう少し詳しく紹介します。 Androidアプリの脆弱性とは何か 同レポートでは、Androidアプリの脆弱性を以下のように定義しています(同書P3)。 ■ 「
spモードメールアプリ バージョン5400 およびそれ以前開発者によると、Android 向けの spモードメールアプリのみ影響を受けるとのことです。
またまた来ました大変なことをしてくれるAndroidアプリ。 ヘンなアプリに要注意! データぶっこ抜きアプリか?Google playに不審なアプリが出回る - ライブドアニュース ITライフハック なんとか The Movieという名前がつくのが今回のアプリの特徴です。内容はそのアプリを動かした動画が見られます。 結果から言いますと、このアプリは、アプリを実行した電話の電話番号とAndroid_ID 自分の名前、電話帳に登録してある人すべての名前とメールアドレスをこの人のサーバにアップロードしてしまいます。 これらのアプリの総ダウンロード数GooglePlayの表示を足すと、66,600〜271,500。ダウンロードした人たちの連絡先に平均50人入っているとして、3,330,000〜13,575,000人という、とてつもない人数の個人情報が集まっているのではないかということです。 パケッ
![個人情報漏れすぎ,[hack] TSUNAKAN hack - luminのコードメモ](https://cdn-ak-scissors.b.st-hatena.com/image/square/cc2431a0e56fbb8e12cf19f63612c232d3e45603/height=288;version=1;width=512/https%3A%2F%2F2.zoppoz.workers.dev%3A443%2Fhttps%2Fcdn.image.st-hatena.com%2Fimage%2Fscale%2Fa3dd5d58f2d78ac92e07946a1095e5cb96ec98d2%2Fbackend%3Dimagemagick%3Bversion%3D1%3Bwidth%3D1300%2Fhttps%253A%252F%252Fcdn-ak.f.st-hatena.com%252Fimages%252Ffotolife%252Fl%252Flumin%252F20120412%252F20120412222936.png)
Android用のWebサイトを作っていてはまったので、報告します。対象はブラウザ上で動くWebアプリの話で、ネイティブアプリではありません。 Googleで検索しても、ネイティブアプリ関連の情報は出てきますがWeb開発の情報が意外とすくなかったので、少しでもお役に立てれば幸いです。 概要 Android標準ブラウザ(Dolphinブラウザなども含む)で、セキュア属性付きのCookieの挙動がiPhoneのブラウザや、PCのChromeなどと異なります。 Cookieやセキュア属性の概要はこちらなどをご参照ください。http://itpro.nikkeibp.co.jp/article/COLUMN/20080221/294407/ PCやiPhoneのブラウザの場合、WebサーバがSet-Cookieレスポンスヘッダを返した場合、例え、そのCookieのセキュア属性が設定されていても、ブ
このエントリでは、Androidアプリケーションにおいて、難読化が施されていない場合、脆弱性にあたるかについて議論します。 はじめに Androidアプリケーションは主にJava言語で記述され、DEX形式のファイルにコンパイルされたコードを、DalvikというJava互換VM上で実行します。DEXおよびAPKファイルの仕様は公開されており、DEXにはクラスやメソッド等のシンボル名も含まれているため、リバースエンジニアリングが容易であると言われています。このため、Android SDKには標準でProGuardという難読化ツールが添付されています。 それでは、難読化の目的はそもそも何で、難読化でその目的は達成されるのでしょうか。 難読化の目的 Webアプリケーションの場合は、重要なロジックは主にサーバー側に存在するため、ソースコードを外部から取得することはできません。これに対して、スマートフ
Free, Safe, Simple, Manage your files efficiently and easily with ES File Explorer (File Manager)! ES File Explorer (File Manager) is a full-featured file (Images, Music, Movies, Documents, app) manager for both local and networked use! With over 500 million users worldwide, ES File Explorer (File Manager) helps manage your android phone and files efficiently and effectively and share files withou
書籍「Android Security 安全なアプリケーションを作成するために」は既に各方面で絶賛されているように、Androidアプリケーションの開発者には必携の書籍だと思いますが、新しい分野だけに、首をひねらざるを得ない箇所もありました。このエントリでは、同書第10章「暗号化手法」から共通鍵の生成方法について議論します。 はじめに 書籍「Android Security」(業界では「タオ本」と呼ばれているので、以下タオ本と記述)の10章では、端末内のファイルを暗号化して保存する手法について説明されています。その際に問題となるのが、鍵の生成と保管の方法です。スマートフォン端末、とくにAndroid端末は、アプリケーションのリバースエンジニアリングとルート化の可能性は常にあるため、あらゆる場合にも破られない暗号化というものはありません。このため、守るべき情報資産と、想定する脅威(言い換え
ゆーごく @uu59 http://t.co/6TWeWOvv http://t.co/YdhYz0w0 消費電力がどうとか話が錯綜してるけど、要はスマホ上のtwitterアプリが平文通信+信用できないwifiで接続してるとき傍受されうるけど平文かどうかユーザーにはわからんって話だろ 2012-02-07 01:00:37 ゆーごく @uu59 そこでユーザーの安全側に倒して、ユーザーに告知せずに平文で通信してるならユーザーを危険に晒しているとみなして脆弱性扱いしようという話であってルートCAとかMITMは話が飛んでる 2012-02-07 01:03:13 ゆーごく @uu59 んで悪意あるアプリ開発者であればSSL通信してると見せかけて(というか実際にSSLで通信して)おいて実際には不正な証明書を受け付けるような作りにしておけばいいわけだから、SSLを強制したところでセキュアとはいえな
このエントリでは、スマートフォンアプリケーションの通信暗号化の必要性について議論します。 はじめに 先日、スマートフォンアプリケーションのセキュリティに関するセミナーを聴講しました(2月8日追記。講演者からの依頼によりセミナーのサイトへのリンクをもうけました)。この際に、スマートフォンアプリケーションの脅威に対する共通認識がまだないという課題を改めて感じました。その課題を痛感できたという点で、セミナーは私にとっては有益でした。 このため、当ブログではスマートフォンアプリケーションの話題をあまり取り上げていませんでしたが、今後は、とりあげようと思います。まずは、スマートフォンアプリケーションでは暗号化を必須とするべきかという話題です。この話題は、前記セミナーでもとりあげられていました。 暗号化の目的は何か まず、暗号化の必要性を論じるためには、暗号化の目的を明確にする必要があります。前記セミ
今回初めて本を出す事になったため、ワクワクしています。 早い本屋には昨日ぐらいに並ぶかもと言われ、見に行ったりしましたが、残念ながら並んでいませんでした。 今日こそ!と思い秋葉の書泉言ってみるとありました!感無量です! 次に、秋葉ヨドバシの上の有燐堂に行って見ましたが、残念ながらまだありませんでした。 まぁ、ジャンプだって店によって出ている日が違うし、こんなもんなんでしょう しかし、取った写真をTwitterで流していたら、「本屋でカメラ使わない方がいいよぉー」との指摘 本を買わずにカメラで1ページ1ページ取る人がいるとかなんとか、そういえばそんな話を聞いたことがあるなぁと 思い出してみたり… 本の中を見てみるとわかるのですが、Logcatのキャプチャーとかは6月とかの物があったりして、本当に長い時間がかかりました。今回インプレスさんから出させていただきましたが、出版社と契約するのも初めて
(2015年5月追記) この記事に掲載の「AppNetBlocker」は Android 5.0 以降の環境では正しく動作しません。記録としてアプリ本体へのリンクは当面残しますが、コメント欄に何度か記載の通りこのアプリケーションの開発はすでに終了しており、今後改訂を行う予定はありません。ご了承下さい。 以前から自分自身がほしいと思っていた Android アプリが形になったためマーケットで公開しました。 今回はそのアプリ、「AppNetBlocker」をご紹介します。 AppNetBlocker は、所定のアプリから「完全なインターネットアクセス」の許可を除去するツールです。実行に root 権限は必要ありません。Android 1.6 以上の環境で動作します。興味のある方はご利用下さい。もちろん無料です。 (2011/12/26 追記) 本アプリは、現時点では安全面において不安要素の少な
ローカルアプリケーションにより、(1) 多数のタブが開かれ、標的のドメインへの URI が現在のタブに読み込まれる、または (2) UI のフォーカスが標的のドメインにあるとき、標的ドメインの URI と悪意のある Javascript という連続する2つの startActivity 関数コールが作られることで、サンドボックスを回避される、および、任意のドメインにおいて任意の Javascript を実行される可能性があります。
UPDATE Googleでオープンソースソフトウェアの取り組みの責任者を務める人物が、Googleの「Android」OSなどを対象とした携帯端末用アンチウイルスソフトウェアの販売企業を「いかさまなペテン師」と呼び、激しく非難した。 GoogleのオープンソースプログラムマネージャーChris DiBona氏は、オープンソースソフトウェアのセキュリティに関する報道を手厳しく批判している。オープンソースソフトウェアは、Androidだけでなく、 Appleの「iOS」にも使用されている。同氏は、Android、iOS、およびResearch in Motionの「BlackBerry」OSにはアンチウイルスソフトウェアは必要ないと主張した。 DiBona氏はGoogle+で、「ウイルス企業はユーザーの不安をかき立てて、Android、RIM、iOS用のくだらない保護ソフトウェアを売ろうとし
yebo blog: HTCのAndroidデバイスに情報漏洩を引き起こす脆弱性
2011/10/03 HTCのAndroidデバイスに情報漏洩を引き起こす脆弱性 Slashdotによると、台湾のHTC社が発売しているAndroidスマートフォンには、HTC自身が入れているログ収集目的のソフトウェア(Htcloggers)あるのだが、このソフトウェアに問題があるため、android.permission.INTERNET権限のソフトウェアで通話記録や位置情報などの情報を抜き出すことができてしまうそうだ[androidpolice]。影響する端末はEVO 3D、EVO 4G、Thunderboltなどで(Sensationも可能性あり)、回避策としては、Htcloggers(/system/app/HtcLoggers.apk)を削除すればいいのだが、root権限が必要となり一般ユーザには難しい。修正が行われるまで、むやみにマーケットからソフトウェアをダウンロードしないこ
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
