[PR]株式会社セキュアスカイ・テクノロジーのAndroidアプリケーション診断 結論を先に書くと、Androidアプリケーションのリバースエンジニアリングは非常に簡単である。理由は大きく2つあり、一つはそれがJavaアプリケーションであること、もうひとつはAndroidがオープンソースであることだ（ただしJNI等を使ってC++やCのコードなどを呼び出している場合には、下層のモジュールの解析は通常のCアプリケーション同様に面倒ではないかと考えられる）。 Androidアプリケーションは.apkという拡張子でファイル単体で配布されるので、まずそれを用意する。筆者はAppMonsterというツールを使っている。このツールだと簡単にSDカードにapkファイルを保存してくれる。このエントリでは例としてテスト用のアプリケーションであるandroid1.apkを使用する。 apkファイルはZIP形式の

ニコニコPodder iPhone/iPod/iPad対応ニコニコ動画簡単インポートツール aggregateGithubCommits GitHubレポジトリでのコミット数をAuthor/期間別に集計します probeCOCOATek 新型コロナ接触確認アプリCOCOAが配布するTEKを表示・集計 結論から書き出すと、結局のところ楽天銀行アプリはUDIDを通常(初期)ログインとクイックログインそれぞれのタイミングでサーバー送出をしていた。この事実からは楽天CERTの説明には不信がある。 さてどうしてくれようというのが現時点な訳だが、まずはどういう仕様で楽天銀行アプリが動作しているのか明らかにしてみよう。楽天CERT担当者からは「即座に悪用できるものではない」との見解ももらっているしまたそもそもリバースエンジニアリングしている訳でもなく公共のインターネットを飛び交っているデータプロトコルに

ニコニコPodder iPhone/iPod/iPad対応ニコニコ動画簡単インポートツール aggregateGithubCommits GitHubレポジトリでのコミット数をAuthor/期間別に集計します probeCOCOATek 新型コロナ接触確認アプリCOCOAが配布するTEKを表示・集計 まだ曖昧な部分もあるので書くかどうか迷いはしたのだが、一定の結果には至ったので僕自身が持っている疑問の提示と皆さんへの問いかけという意味を込めて書き連ねてみる。 iPhoneアプリに「楽天銀行アプリ」というものがある。名前通り楽天銀行へログインし自身の取引結果や振り込みなどを行えるアプリだ。 僕自身も楽天銀行には口座を持っているので試してみたのだけど、「あれ？」と思わざるを得ない仕様があった。 簡単に説明すると次のような手順でこのアプリは使用する。 クイックログインの仕様 起動するとまずログイ

Windowsに脆弱性が発見されると、脆弱性によっては WebDAV が攻撃経路として挙がります。最近だと、Microsoft Graphics Rendering Engineの脆弱性（CVE-2010-3970）があります。自分が WebDAV を使わないためか、攻撃経路として WebDAV が有効なのか疑問がありました。少し WebDAV について調べる機会があったため、調べたことをメモとしてまとめてみます。 WebDAV による共有フォルダにアクセスする方法 WebDAV を使ったサービスの使い方（ここやここ）を読んでみると、WebDAV による共有フォルダ（以降、Web フォルダ）を使用する方法には、WebDAV 専用クライアントを使う方法や、Windows 標準の機能を使う方法があります。それ以外にも Windows Explorer から UNC（例：\\www.exampl