Shoeisha Technology Media

CodeZine(コードジン)

記事種別から探す

【デブサミ2012】17-D-5 レポート
脆弱性のないプログラミングで品質を高める――Android/Javaセキュアコーディング

  • LINEで送る
  • このエントリーをはてなブックマークに追加
2012/02/28 14:05

 本稿では、「Developers Summit 2012」(デブサミ2012)において、2月17日に行われたJPCERTコーディネーションセンター 脆弱性アナリスト 久保正樹氏によるセッション「Java/Android セキュアコーディング入門」の内容を紹介する。

目次
JPCERTコーディネーションセンター 脆弱性アナリスト 久保正樹氏
JPCERTコーディネーションセンター 脆弱性アナリスト 久保正樹氏

Androidアプリが抱える潜在的な脆弱性のリスク

 Androidといえばソーシャルアプリというイメージが先行するが、エンタープライズ領域でも、各種のモバイルソリューションが広がっている。そして、新しいアプリケーションフィールドが広がると、必ず問題となるのがセキュリティだ。久保氏によれば、連日のようにスマートフォン向けのマルウエアやrootkitの発見が報告され、マーケットに流通するアプリの情報収集機能の問題点などが指摘されているが、アプリケーションそのものの脆弱性が話題になることは少ないという。

 しかし、Androidアプリに脆弱性がないのかというと、そんなことはなく、いまはまだ注目されていないだけだとして、今後、この問題が顕在化するだろうと、久保氏は警告した。

 アプリそのものの脆弱性が問題になる背景には、Androidプラットフォームの成熟度の問題、およびモバイルデバイスの普及がアプリのユースケースを拡大、もしくは複雑化している現状がある。原因がアプリよりプラットフォームにあるため、久保氏はさらに、「Androidアプリのセキュリティ向上といっても、アプリケーション単体で考えていてはだめです。」と語った。そして、Androidアプリ開発において、どんな脅威に注意すればよいのかという点を、OWASPが公開しているモバイルアプリのリスク トップ10を参考に示しながら説明した。

 例えば、SDカードなど外部メモリにアプリの機微な情報を保存してしまうこと。Webkitを使うためのAPIであるWebviewなどを使うときは、クライアントサイドで何が実行できてしまうかに注意すること。端末IDなどを安易にサービスの認証に使わないこと。サードパーティ製のライブラリやOSSモジュールなど利用する場合の注意。といったような点である。

 また、実際にJPCERTコーディネーションセンター(JPCERT/CC)に届けられるAndroid関係の脆弱性情報は、昨年7月からおよそ30件ほどあり、内容としては、データベースのパーミッションの問題、Webviewの使用に関する脆弱性、JSONハイジャック問題などが寄せられているという。別のAndroidアプリを調査したデータでは、暗号化鍵がハードコーディングされている(42%)、乱数のエントロピー不足(61%)、機微情報の外部送信(39%)などの問題も指摘されている。

モバイルアプリのトップ10リスク(OWASPより)
モバイルアプリのトップ10リスク(OWASPより)
短期集中セミナーのお知らせ

 本セッションを担当したJPCERTコーディネーションセンターの講師陣によるAndroidセキュアコーディングセミナーを2012年3月14日に開催します(主催:翔泳社/CodeZine)。詳しくは特設ページまで!


  • LINEで送る
  • このエントリーをはてなブックマークに追加

著者プロフィール

バックナンバー

連載:【デブサミ2012】セッションレポート

もっと読む

All contents copyright © 2005-2018 Shoeisha Co., Ltd. All rights reserved. ver.1.5