JVN#53768697 Android OS において任意の Java のメソッドが実行される脆弱性 が公表されました。 不肖私が昨年9月にIPAに届け出たものです。 これまでは情報非開示依頼があったので多くを語ることができませんでした。 ヤバい内容なのでみんなに注意喚起したかったけれどそれができない苦しさ。 周りでICS端末を使ってる人を見かけたら「事情は言えないけどブラウザにはChromeを使って。標準ブラウザ使わないで」と言うくらいしかできなくて申し訳ありませんでしたm(_ _)m 当時のいきさつを日記から掘り起こして記録に残しておきたいと思います。 2012年9月15日(土) WebViewを使ったビジネスアプリのフレームワークを作りたいという構想があって(PhoneGapにはないビジネス用の固有の機能を入れようと思って。バーコードリーダーとか印刷機能とか)、そういえば addJ
Android, iPhone等のスマートフォン向けアプリ開発などの話題を中心に、時事ネタなどを気の向くままに書いています。 以前ブログにまとめた「Androidアプリの不正使用対策について」に最新情報とより詳細な情報を入れてまとめた電子書籍「Androidアプリ開発者のための不正使用対策」の販売を開始しました! 「Androidアプリ開発者のための不正使用対策」の製品ページ 現在直販のみで、電子書籍版(PDF形式) 価格 1,050円(内訳 1,000円+消費税50円)となります。 悪用される可能性があるため、敢えて有料にしています。 Androidは自由な反面アプリは常に以下の様な不正使用の危険にさらされています。 アプリファイルのコピー (コンテンツが盗まれる) バックアップ&キャンセル (有料アプリをタダで使われてしまう) アプリの改竄 (勝手に改造されてしまう) ライセンス回避
このエントリでは、Androidアプリケーションにおいて、難読化が施されていない場合、脆弱性にあたるかについて議論します。 はじめに Androidアプリケーションは主にJava言語で記述され、DEX形式のファイルにコンパイルされたコードを、DalvikというJava互換VM上で実行します。DEXおよびAPKファイルの仕様は公開されており、DEXにはクラスやメソッド等のシンボル名も含まれているため、リバースエンジニアリングが容易であると言われています。このため、Android SDKには標準でProGuardという難読化ツールが添付されています。 それでは、難読化の目的はそもそも何で、難読化でその目的は達成されるのでしょうか。 難読化の目的 Webアプリケーションの場合は、重要なロジックは主にサーバー側に存在するため、ソースコードを外部から取得することはできません。これに対して、スマートフ
公開: 2011年10月10日11時30分頃 少し前から「AppLog」というものが話題になっていましたが、朝日新聞の記事になりましたね。 アプリ利用時間や回数丸わかり 「アップログ」に批判 (digital.asahi.com)記事を書かれたのは、岡崎市立中央図書館の事件でも活躍された神田大介さん。 そのAppLogのサイトはこちらのようです。 AppLog (www.applogsdk.com)見ていくと、いろいろ気になることが書かれています。 まず、どんな情報が送信されるかですが、以下のように説明されています。 Android ID端末の機種情報端末のOS端末にインストールされているアプリケーションの情報端末で起動されているアプリケーションの情報以上、AppLogSDKの概要 より
株式会社ミログが最近発表した、AppLogSDK というものが、スパイウェアもどきじゃないかという批判が出ていたので、その会社の成果物をチェックしてみたら、app.tvというAndroidアプリ群が、スパイウェアそのものだった。 app.tv について簡単に説明すると、電子書籍アプリで、ミログのいう AppReward という仕組みで、アプリを入れることでターゲティング広告が表示され、その実績を仮想通貨のポイントに変換し、ポイントに応じて電子書籍を入手する、という仕掛け。手っ取り早くポイントを購入する仕掛けも別にある。 ここで問題なのは、このターゲティング広告が、Android端末の「アプリケーション情報」を用いるという点。このために、アプリを入れた端末から、インストールされたアプリの情報や起動されているアプリの情報を常時収集し、定期的にミログのサーバーに送る仕掛けが入っている。これは、プ
1:名無しさん@涙目です。(福岡県):2011/10/03(月) 17:31:08.69 ID:RcgXnOFX0 「HTC EVO 3D」「HTC EVO 4G」「HTC Thunderbolt」を含むHTC製「Android」スマートフォンに個人情報へのアクセスにつながる脆弱性があるという。 この脆弱性を報告したセキュリティ研究者のArtem Russakovskii氏、Justin Case氏、Trevor Eckhart氏によれば、端末にインストールされた、インターネットに接続されているアプリによって、テキストメッセージ、位置情報、電子メールアドレス、電話番号などの個人情報にアクセスされるおそれがあるという。 Russakovskii氏は、この脆弱性はHTCが最近ソフトウェアアップデートでインストールしたロギングツールに関連したものであることを発見したと述べている。 Russako
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く