JSSECのガイドラインに沿ってAndroidアプリの脆弱性を検査
JSSECのガイドラインに沿ってAndroidアプリの脆弱性を検査:SDNA、個人開発者向けに月額1000円で検査ツールを提供 ソニーデジタルネットワークアプリケーションズ(SDNA)は7月1日、JSSECのガイドラインに沿ってAndroidアプリの脆弱性を検査するツール「Secure Coding Checker」のオンライン販売を開始した。 ソニーデジタルネットワークアプリケーションズ(SDNA)は7月1日、Androidアプリの脆弱性を検査するツール「Secure Coding Checker」のオンライン販売を開始した。 Secure Coding Checkerは、Androidアプリの本体ファイル(apkファイル)を検査して脆弱性を指摘するとともに、修正方法を提示するツールだ。検査は、日本スマートフォンセキュリティ協会(JSSEC)がまとめている「Androidアプリのセキュア
SDNAがAndroidアプリ脆弱性検査ツール--個人は月額1000円
ソニーデジタルネットワークアプリケーションズ(SDNA)は4月18日、Androidアプリの脆弱性が検査できるツール「Secure Coding Checker」を発表した。5月中旬から販売する。 SaaSで提供されるSecure Coding Checkerは、Androidアプリの本体である“apk”ファイルが「Androidアプリのセキュア設計・セキュアコーディングガイド」(日本スマートフォンセキュリティ協会=JSSEC作成)にしたがって開発されているかを診断し、脆弱性が含まれていないかを検査するツール。検査結果レポートでは問題がある場所を指摘、コーディングガイドで参照すべき項目への導線も提示してくれる。 使い方は、ツールにログインして検査対象のapkファイルを選択するだけという簡単設計。料金は、1アプリを対象とした個人向けプランが月額1000円、10アプリまでを対象とした法人向けプ
【セキュリティ ニュース】タオソフト、開発知識不要のAndroidアプリ脆弱性診断サービス(1ページ目 / 全1ページ):Security NEXT
タオソフトウェアは、Androidアプリの脆弱性を診断するウェブサービス「Tao RiskFinder」を提供開始した。 同サービスは、Androidアプリの静的解析を行い、アプリに含まれる脆弱性やセキュリティ上の問題点などを検出するもの。開発知識やソースコードは不要で、アプリケーションファイルをブラウザからアップロードするだけで診断結果のレポートを提供する。 脆弱性のほか、暗号化されていない通信経路、不要なサーバへのアクセス、安全性の低い暗号化ロジックなどセキュリティ上の問題点を検出。また、不要なパーミッションや無駄な機能などをチェックして、マルウェアと誤解されやすい項目や品質に関する項目を検出する。 さらに、総務省の「スマートフォンプライバシーイニシアティブ」に準拠したアプリを作成するための情報を提供。利用者のプライバシー保護を意識したアプリ作成を支援する。 (Security NEX
HTTPS を使ってるアプリを AppStore や Android Market で配信するときの輸出手続きについて - むらかみの雑記帳
'12/11/24: このブログの内容をもとに Amazon Kindle ストアで電子書籍を出版しました。 スマートフォンアプリ配信の輸出管理 作者: 村上卓弥出版社/メーカー: 村上 卓弥発売日: 2012/11/23メディア: Kindle版 クリック: 1回この商品を含むブログ (2件) を見る AppStore でアプリ配信をしようとして iTunes Connect にアプリをアップロードしようとすると、「暗号使ってるかい?」(Export Complianceのところ)という質問がされますよね?皆さん、あそこちゃんと答えてますか? ほとんどのサイトは No でいいよ、と書いてあります。が、これは間違い。アプリが暗号関連でなくても、アプリ内に暗号コードが入ってなくても、iOS の暗号を使っている場合はここは Yes と答えないといけません。 具体的には、HTTPS を使ってる場
Androidを取り巻く脅威――ユーザーにできることは?
セキュリティ上の問題と向き合いながら使うために 最近、新聞やニュースサイトでAndroidに関連したセキュリティ上の問題が取り上げられることが増えました。Androidでセキュリティ上の問題が多く報告されていることは事実です。しかし、気を付けるべきポイントを理解していれば、他のOSと同様、セキュリティ上の問題と向き合いながらうまく利用できるはずです。 本記事では、本記事執筆時点におけるAndroidを取り巻く現実的な脅威を概観したうえで、Android端末をプライベートで使用するユーザーが気を付けるべきことを紹介します。特に、Android端末を使い始めたばかりのユーザーに読んでいただければと思います。 なお、Android端末を「ビジネス用途」で使用したい場合には事情が変わります。Android端末をビジネス用途で使用する場合には、「私物のAndroid端末の取り扱い」や「Android
AndroidのSSLSocketはマルチスレッドに対応しているのか
OpenSSLを知っている人には有名な話だと思うが、OpenSSLではひとつのソケット(SSL型)に対してSSL_read()とSSL_write()を同時に呼ぶことはできない。(実際には多くの場合は動作するが、re-negotiationが動作しない) OpenSSLのFAQ この仕様は、blocking IOの時に問題となる。SSL_read()でブロックしている最中に別スレッドからSSL_write()することができないのだ。 SSL上の通信が、Read,Writeがシーケンシャルに行われるような通信の場合には問題とならないが、ReadとWriteが独立して行われる通信の場合、blocking IOのSSLは使えないことになる。 AndroidのSSL部はOpenSSLを使っているが、この辺りがどうなっているのか(制限がそのままあるのか、回避されているのか)を調べてみた。 結論として
Androidを狙ったマルウェアが増加 | スラド セキュリティ
Androidを狙ったマルウェアが中国語圏を中心に広まっているようだ(エフセキュアブログの記事、本家/.)。 「ADRD」という名でも知られるマルウェア「HongTouTou」は、端末のIMEIとIMSIをリモートホストに送信する。リモートホストがサーチエンジンのURIとクエリ語句を返してくるので、これを使用してHongTouTouはバックグラウンドで検索を実行し、特定の検索結果に対するクリックをエミュレートする。サーチエンジン側からみれば、普通にモバイルユーザから検索が実行されているように見えるとのことだ。 HongTouTouは、正規のアプリケーションをリパッケージングして組み込まれる。スマートフォン用のセキュリティ企業Lookoutでは、人気ゲーム「RoboDefence」や壁紙アプリケーションなど、HongTouTouが組み込まれた14種類のアプリケーションを確認したという。ただし
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Engadget | Technology News & Reviews
Build and implement a single sign-on solution