こどおじがAndroidアプリ作ってたらGoogleに子供部屋を追い出された話 - Qiita
自己紹介 皆様は個人開発をやっておられますでしょうか。私も億万長者を目指して日々スマホアプリ開発をしております。 代表作は安倍晋三エクスプローラー/聖帝エクスプローラー、最近力を入れているアプリはガチ有能AI助手です。他にもいくつかのアプリを個人で開発し、AppStore/GooglePlayで公開しています。 私はこれらのアプリを実家の自室で開発していました。10年以上実家暮らしをしていた筋金入りの子供部屋おじさんです。 なお、ガチ有能AI助手ではバックエンドで使用しているCloudRun、Firebase、Algolia、Suno、Huggingfaceでそれなりに運営費用が発生しています。そのためIn App Purchaseを使用してアプリ内から寄付ができるようにしています。 IAPを使用した寄付機能(iPhone) IAPを使用した寄付機能(Android) GooglePlay
Google Playの住所公開に開業届で対応する
こんにちは。趣味グラマのNobu(@nm_aru)です。 Google Playから以下のタイトルのメールが来ていましたが、身分証の提出ぐらいだろうと甘く考え、期限ギリギリまで放置しようと思っていました。 時間が出来たので内容を見てみると、何と個人開発者は自宅住所をストアに公開するための対応依頼でした・・・。 名前の公開はまだ良いとして、流石に住所公開はハードルが高いので、Playストアでのアプリ公開はもう諦めようかなと思いもしましたが、以下の3点から開業届を出して対応する事にしました。 利用してくれているユーザーがいる iOSのみになるとFlutterを使っている意味がほぼ無くなる 開業届のハードル(手続き、費用面)が低くなった という訳で、ここには備忘録を兼ねて今回の対応を残しておきたいと思います。
GraphQL Client Architecture Recommendation 社外版 | メルカリエンジニアリング
この記事は、Merpay Advent Calendar 2022 の15日目の記事です。 こんにちは。メルペイのvvakameです。 最近、社内向けにGraphQL Client Architecture Recommendationというドキュメントを書きました。社内のiOS/Android、そしてバックエンドのエンジニア向けにGraphQLをやるならこの辺りの条件を満たしておかないと恩恵を感じられなくなっちゃうかもよ、と伝えるためのものです。嬉しいことに、今までに100名弱の人たちがこのドキュメントを閲覧してくれたようです。 これをAdvent Calendarで公開するために、ちょっと調整したものがこの社外版です。 すでにGraphQLをやっているけどあまり便利じゃないな…なんでだろ?とか、これから導入したいんだけど何を気をつけるべきかな…と考える時の材料にしてください。 併せて、
Content Providerの調査をdrozer以外で頑張ってみた! - ラック・セキュリティごった煮ブログ
こんにちは!デジタルペンテスト部のbooooomです!今回は私の好奇心だけを満たす内容でごった煮ブログを書かせていただきます! 最近はOWASPが公開したMobile Application Security Testing Guide(以下、MASTG)に基づいてスマートフォンアプリの調査を勉強しています。その中で、どうでもいいことかもしれませんが、どうしても気になることが1つあります… それはdrozerのことです。気になる理由はなんとなくメンテされていないイメージを持っていて、それでもMASTG記載の調査手順では使われているということからです。調べてみたところ、実は前でMASTGのGithub上でdrozerを代替しないかという提案(?)がIssuesにもなっていました。 最新のMASTGv1.6.0でdrozerが調査手順で使われているのは主に「Determining Whethe
フロントエンド開発スタイルの変遷と、私がFlutterにハマったわけ
BPStudy#185での資料です。108枚を50分で話すという暴挙です。 https://bpstudy.connpass.com/event/271251/
新機構Play Integrityを使用したFirebase App Checkの検証を通して見る、スマホアプリの不正検知とBypassの「イタチごっこ」 - Flatt Security Blog
はじめに こんにちは。株式会社Flatt Securityエンジニアの大谷(@otani_daiki)です。 Androidのゲーム、銀行系アプリケーションを開発する上で、チート等の不正を可能にするRoot化や改ざんといった行為からアプリケーションを保護するのは必須と言えます。 そこで本稿では、どのようにアプリケーションを保護すれば良いのかを攻撃者側からの観点も踏まえて解説していきます。 また、株式会社Flatt Securityではお客様のプロダクトに脆弱性がないか専門のセキュリティエンジニアが調査するセキュリティ診断サービスを提供しています。料金に関する資料を配布中ですので、ご興味のある方は是非ご覧ください。 注) 本稿では度々サンプルコードを提示することがありますが、明示されない限り実機(Pixel 3a: Android 10)での検証を行なっております。 はじめに 免責事項 Ro
「iPhoneにサイドローディングさせろ」を国が言うのは妥当か
内閣官房デジタル市場競争本部事務局は4月26日、「モバイル・エコシステムに関する競争評価 中間報告」に対するパブリックコメントを開始した。資料はここからダウンロードできる。 280ページにも及ぶ労作で、スマートフォンのエコシステムについて詳細な分析を行なっており、これに関わる事業をやっている方にとっては参考になる部分も多いだろう。 ご承知の通り、スマートフォンのOSはAppleのiOSとGoogleのAndroidに2分されている。一時期MicrosoftもWindows Phoneで再参入した時期もあったが、2019年に「Windows 10 Mobile」のサポート終了を以て撤退。以降はiOSとAndroidの寡占状態が続いている。 もともと内閣官房デジタル市場競争本部事務局が、市場競争を加速し、最終的に消費者の利に資する目的の組織であることから、中間報告はこの寡占状態による市場競争の
Bypassing SSL pinning on Android Flutter Apps with Ghidra
TL-DRAndroid Apps built with the Flutter framework validate the secure connections and honour the Proxy settings in a different fashion when compared to apps written in dex. A binary dubbed libflutter.so seems to contain the dependencies responsible for establishing remote connections. This post shows the steps to patch the binary to bypass ssl pinning on Android apps (armeabi-v7a). This binary (l
Bluetooth通信実装のセキュリティ観点を4ステップ + 1で理解する - Flatt Security Blog
Bluetoothは、米国Bluetooth SIG,Inc.の商標です。 イントロ BLE通信 概観 GATTプロファイル ペアリング 脆弱性 1: Characteristicの権限指定ミスによる平文通信 観点: GATT Characteristicと属性 対策: characteristicへの暗号化必須属性の付与 脆弱性 2. Legacy Pairingにおける暗号化された通信のブルートフォース LE Legacy Pairingにおける鍵生成と鍵交換 TKの生成 random値の生成 STK/LTKの生成 観点: ペアリングフローの盗聴による経路復号 既成ツールを用いたTKの総当りと通信の復号実践 対策: Legacy vs Secure Connection 脆弱性 3. Secure ConnectionのJust Worksにおけるperipheralのspoofing
CTFでスマホアプリのセキュリティを学んでみよう - ラック・セキュリティごった煮ブログ
デジタルペンテストサービス部でスマートフォンアプリケーション診断を担当しているlac01です。本稿では、AndroidのCTFであるhpAndro Vulnerable Application (Kotlin) CTF(以降、hpAndro CTF)をご紹介します。 hpAndro CTFとは、Hiral Patel氏とRAVIKUMAR R. PAGHDAL氏によって作成されたCTF(Capture The Flag)です。OWASP Mobile Security Testing Guideをベースに作られた脆弱なAndroidアプリケーションを攻略し、ポイントを競い合います。ただし、hpAndro CTFは、一般的なCTFとは異なり、時間制限がなく勝ち負けもありません。そのため、自分のペースで進められ、問題を解くことでポイント獲得が出来るため、ゲーム感覚でセキュリティを学べます。また
どのようにscrcpyがADBだけでAndroidの画面操作を実現しているのか | CyberAgent Developers Blog
こんにちは。AI事業本部 DX本部 小売セクター ミライネージで開発をしている2020年新卒入社の大田です。 リモートワークの中、Zoom等の画面共有でscrcpyを使ってAndroid実機のデモをして開発メンバーに共有する用途や、画面を持たないAndroid端末(STBなど)での開発でモニタを1台占領せずに開発マシンにモニタを使えるなど、scrcpyに非常に支えられています。 今では当たり前になったscrcpyも、初めて見たときは「こんなことが可能なのか」とすごく驚きました。特にADBの接続のみでAndroid側に追加でアプリケーションを入れずに実現している仕組みについてずっと技術的関心がありました。そこで本稿では、どのように”ADBだけ”で画面操作を実現しているのかを追いかけます。 scrcpyとは scrcpyはAndroidを端末のGUIでの画面操作を可能にするオープンソースのソフ
Chrome 93で実装されたCross Device WebOTPフローを試してみた - r-weblife
おはようございます ritou です。 8月ですよ。お仕事の進捗大丈夫ですか? 最近、Google方面からDecoupled AuthNの香りがしたので追ってみました。 何の話? この話です。 developer.chrome.com WebOTPとは? Webアプリケーションがモバイル端末でSMS経由のOTP認証をしようと思った時、画面に「認証コードを送信しました」なんて出た後にSMSを確認できるアプリを起動して確認してまたブラウザに...とかをやったことがある人は多いでしょう。 WebOTPとは、モバイル端末上のブラウザであればアプリの切り替えをせずにワンタップでSMSで受け取ったOTPの値を読み込んで検証リクエストに繋げられる、しかもSMSを発信したWebアプリを特定できるフォーマットになっていることでフィッシングサイトからはこのフローを使えなくするような仕組みのことです。 web.
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
OWASP Mobile Application Security
Eliminating Memory Safety Vulnerabilities at the Source
Chrome to sync passkeys on Google Password Manager between desktop and Android | Blog | Chrome for Developers
Proxyman · Debug, intercept & mock HTTP with Proxyman
Bypass SSL Pinning in Android Phones — Part 2
Bypass SSL Pinning in Android Phones — Part 1
Android/Chromeで体験できる 認証のための標準化仕様の 現在と未来 @ DroidKaigi 2022
GitHub - Genymobile/scrcpy: Display and control your Android device
