iOS/Androidアプリ内課金の不正なレシートによる有料会員登録を防ぐ - pixiv inside [archive]
こちらはピクシブ株式会社 Advent Calendar 2014の12/9の記事です。 こんにちは。iOSエンジニアの@shobyshobyです。 歌も歌えてコードも書けるエンジニアを目指して、毎週ボイトレに通っています。 さて、私は最近、pixiv公式iOS/Androidアプリ向けのSubscription課金の実装を担当していたのですが、 いざ機能を公開してみると、APIに投げられる不正なレシートが予想以上に多いことに気がつきました。 今回は、iOS/Androidアプリ内課金の不正なレシートによる有料会員登録を防ぐ対策を解説します。 有料会員登録の検証処理に漏れがある場合、お金を払わずに不正に有料会員になることができてしまうため、 アプリ内課金のバックエンド処理は慎重に設計、実装する必要があります。 ※この記事では、AndroidのIn-app Billing Version 3
![iOS/Androidアプリ内課金の不正なレシートによる有料会員登録を防ぐ - pixiv inside [archive]](https://cdn-ak-scissors.b.st-hatena.com/image/square/23bca7351953dbb4ab49d2d5b9f09b956c57cd49/height=288;version=1;width=512/https%3A%2F%2Fcdn.image.st-hatena.com%2Fimage%2Fscale%2Fb2d891f69131a7a43de47e25e3a26b0a7f867d2d%2Fbackend%3Dimagemagick%3Bheight%3D1300%3Bversion%3D1%3Bwidth%3D1300%2Fhttp%253A%252F%252Fcdn-ak.f.st-hatena.com%252Fimages%252Ffotolife%252Fd%252Fdevpixiv%252F20141208%252F20141208224418.png)
Google、古いAndroid向けWebViewパッチ打ち切りについて説明
米GoogleでAndroidセキュリティ担当リードエンジニアを務めるエイドリアン・ラドウィッグ氏は1月24日(現地時間)、旧バージョンのAndroidについて、同社が脆弱性を修正するパッチの提供を打ち切ったという情報について説明した。この情報は12日、Rapid7の研究者であるトッド・ビアズリー氏がブログで伝えたものだ。 ビアズリー氏は、Googleに4.4よりも前のバージョンのWebViewの脆弱性を報告したところ、Googleのインシデント対応担当者からメールで「もし影響を受けるのが4.4(コードネーム:KitKat)よりも前のバージョンであれば、我々は一般的に、自らパッチを開発しない。4.4より前のバージョンに影響する報告で、パッチを伴わないものについては、OEMに通知する以外の対応はできない」という返事を受けたという。 Google自身が公開している統計によると、1月5日の時点で
アプリの偽装を可能にするAndroidの脆弱性「Fake ID」
出典:ITpro 2014/08/29 (記事は執筆時の情報に基づいており、現在では異なる場合があります) 世界のセキュリティベンダーのブログから、押さえておきたい話題をピックアップして紹介する。一つはアプリケーションの偽装を可能にするAndroidの脆弱性について。「Fake ID」と名付けられた脆弱性で、米マカフィーなどいくつかのセキュリティベンダーが注意を呼びかけている。ここではマカフィーのブログを紹介しよう。 Fake IDは、不正なアプリケーションが正規アプリケーションのIDを模倣できてしまうというもの。上位権限を獲得してしまうおそれがある。 各アプリケーションが持つ固有のIDは開発者によって定義される。IDは電子証明書として、アプリケーションパッケージ(apkファイルなど)の署名に使われ、ツールやOSによって信頼性を検証される。 しかし、開発者は他のアプリケーションからIDを複
JVNVU#90369988: 複数の Android アプリに SSL 証明書を適切に検証しない脆弱性
本脆弱性の影響を受けるアプリは多数あります。 テストされたアプリ名、手動による脆弱性の確認結果、CVE 番号、CERT VU 番号、その他の情報は Android apps that fail to validate SSL に記載されています。 複数の Android アプリには、SSL 証明書を適切に検証しない脆弱性が存在します。 CERT/CC では、CERT Tapioca を使用して本脆弱性を調査しました。調査手法の詳細は、CERT/CC blog をご確認ください。 また、本脆弱性については、CERT Oracle Secure Coding Standard for Java の DRD19-J. Properly verify server certificate on SSL/TLS も参照してください。 アプリの動作によって影響は異なりますが、中間者攻撃 (man-in
プレス発表 【注意喚起】HTTPSで通信するAndroidアプリの開発者はSSLサーバー証明書の検証処理の実装を:IPA 独立行政法人 情報処理推進機構
~米国CERT/CC (*1)が脆弱性のある617のAndroidアプリを指摘 (*2)。今後さらに指摘される見込み~ IPA(独立行政法人情報処理推進機構、理事長:藤江 一正)セキュリティセンターは、米国のCERT/CCが2014年9月3日、複数のAndroidアプリに「SSL証明書を適切に検証しない脆弱性」を確認したとの発表を受け、Androidアプリ開発者に対して注意喚起を発することとしました。 HTTPS(HTTP over SSL/TLS)でサーバーと通信するAndroidアプリは、HTTPS通信の開始時に通信先から送信されたSSLサーバー証明書が適切か検証する必要があります。本来、HTTPS通信では、利用者とウェブサイトの通信経路上に攻撃者が割り込み、通信内容を盗聴したり改ざんしようとする攻撃(中間者攻撃)を防ぐことができます。しかし、開発者が提供するAndroidアプリが「S
スマホアプリのSSLサーバ証明書の検証不備について
8. 8 SSLサーバ証明書の検証不備とは 不正な SSL サーバ証明書を使用 しているサーバであっても警告 を出さずに接続してしまう問題 中間者攻撃 による通信の盗聴や 改ざんなどが行なわれても、 ユーザが気づけない 出典:JVNDB-2012-000037 - JVN iPedia - 脆弱性対策情報データベー ス http://jvndb.jvn.jp/ja/contents/2012/JVNDB-2012-000037.html 9. 9 JVN公表されたアプリ 公開日 JVN番号 アプリ名 アプリ種類 2013/08/19 JVN#75084836 Yahoo!ショッピング Androidアプリ 2013/08/19 JVN#68156832 ヤフオク! iOS/Androidアプリ 2013/06/07 JVN#39218538 ピザハット公式アプリ Androidアプ
スマホを盗み見する彼女・彼氏を激写するAndroidアプリがイカス! - 週刊アスキー
『侵入者検知くん(侵入者を無音で撮影)』 作者:g_oku バージョン:1.2 対応OS:2.3.3以上 Google Play価格:無料 (バージョンと価格、対応OSは記事掲載時のものです) なんだか自分が居ない間に勝手にスマホを盗み見されているような気がする……と、連日もやもやしているユーザーの疑念を晴らすアプリがある。インカメラを使って使用者を撮影できる『侵入者検知くん(侵入者を無音で撮影)』だ。 撮影した写真は“侵入者を確認”からチェック可能。スマホを盗み見した犯人の顔がちゃんと撮影されているのがイカス!! 画質はインカメラの性能によるため、暗所では顔が黒く潰れてしまうといったケースもあるが、記念撮影ではないので誰かを判別する程度なら問題なし。写真は専用フォルダーに溜まっていくが、ギャラリーなどからアクセスされると写真を撮っていることがバレてしまう可能性があるほか、アプリをオンにし
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
