【デブサミ2012】17-D-5 レポート 脆弱性のないプログラミングで品質を高める――Android/Javaセキュアコーディング
Androidアプリが抱える潜在的な脆弱性のリスク Androidといえばソーシャルアプリというイメージが先行するが、エンタープライズ領域でも、各種のモバイルソリューションが広がっている。そして、新しいアプリケーションフィールドが広がると、必ず問題となるのがセキュリティだ。久保氏によれば、連日のようにスマートフォン向けのマルウエアやrootkitの発見が報告され、マーケットに流通するアプリの情報収集機能の問題点などが指摘されているが、アプリケーションそのものの脆弱性が話題になることは少ないという。 しかし、Androidアプリに脆弱性がないのかというと、そんなことはなく、いまはまだ注目されていないだけだとして、今後、この問題が顕在化するだろうと、久保氏は警告した。 アプリそのものの脆弱性が問題になる背景には、Androidプラットフォームの成熟度の問題、およびモバイルデバイスの普及がアプリ
CNET Japan
人気の記事 1中国製スパイチップは「証拠なし」--Super Microが調査結果を発表 2018年12月12日 2未来の折りたたみスマホに--「曲がる」極薄ガラスの限界に挑むコーニング 2018年12月12日 3Instagram、インフルエンサー向けの「クリエイターアカウント」をテストか 2018年12月12日 4AI画像認識の「Googleレンズ」、iOS版Googleアプリにも搭載 2018年12月12日 5「Firefox 64」公開、機能の提案やタブ管理を強化 2018年12月12日 6ペンサイズのGSM携帯「Zanco S-Pen」--カメラ、レーザーポインタ、ラジオなど多機能 2018年12月12日 7グーグル「Pixel Slate」を使ってみて--長所と短所、「iPad Pro」との比較など 2018年12月10日 8人差し指用の指輪型ポイントデバイス「Padrone」
Facebookの友達リクエストでAndroidマルウェアに誘導する攻撃発生
Facebookの友達リクエストを送ってきたのがどんな相手かチェックしようとしたところ、Androidマルウェアを感染させるWebページに誘導されたという。 Facebookを経由してAndroid搭載のスマートフォンにマルウェアを感染させようとする手口が見つかったとして、セキュリティ企業の英Sophosが2月24日のブログで注意を呼び掛けている。 それによると、同社の研究者がFacebookの友達リクエストを受信し、Android搭載のスマートフォンを使ってどんな相手かをチェックしようとした。 ところがその相手のFacebookプロフィールにあったリンクをクリックすると、複数のリダイレクトを経て、Androidにマルウェアを感染させるWebページに誘導されたという。警告や許可を求めるメッセージなどは一切表示されなかったとしている。 このマルウェアは「any_name.apk」という名称で
Facebookの友達リクエストでAndroidマルウェアに誘導する攻撃発生
Facebookの友達リクエストを送ってきたのがどんな相手かチェックしようとしたところ、Androidマルウェアを感染させるWebページに誘導されたという。 Facebookを経由してAndroid搭載のスマートフォンにマルウェアを感染させようとする手口が見つかったとして、セキュリティ企業の英Sophosが2月24日のブログで注意を呼び掛けている。 それによると、同社の研究者がFacebookの友達リクエストを受信し、Android搭載のスマートフォンを使ってどんな相手かをチェックしようとした。 ところがその相手のFacebookプロフィールにあったリンクをクリックすると、複数のリダイレクトを経て、Androidにマルウェアを感染させるWebページに誘導されたという。警告や許可を求めるメッセージなどは一切表示されなかったとしている。 このマルウェアは「any_name.apk」という名称で
業界初*) 個人データを保護するスマートフォン向け技術を開発 | プレスリリース
【お知らせ】 Adobe Acrobat Readerの特定のバージョンに、一部のPDFが開けないバグが発生しております。PDFが開けない場合、お使いのAcrobat Readerを最新版へアップデートの上お試しください。 【要旨】 パナソニック株式会社は、レッドベンド・ソフトウェア(本社:米国マサチューセッツ州/以下、レッドベンド)と共同で、AndroidTMを搭載したスマートフォン内の写真・動画、電子書類、電子メール等の個人データを保護する技術を開発しました。本開発により、スマートフォン紛失時やダウンロード・アプリケーションのユーザが意図しない動作時の流出リスクに対して、個人データを保護することが可能となります。本技術は、今後発売されるパナソニックモバイルコミュニケーションズ製のスマートフォンに適用していく予定です。 【効果】 スマートフォンによる写真・動画撮影、オフィスツールや電子メ
Androidの「マルウェア」と「権限」の正しい理解と対策 カスペルスキーに聞く
最近、Android端末のセキュリティに関する報道が目立つ。ウイルス対策は大丈夫なのか、個人情報は守れるのかなど、ユーザの不安は増す。そこで、主な不安要素として挙げられる「マルウェア」と「アプリの権限(パーミッション)」の現状について、セキュリティソフト開発大手のカスペルスキーに話を聞いた。取材を受けていただいたのは、チーフセキュリティエヴァンゲリストの前田典彦氏。 マルウェアとは マルウェアとは、悪意のあるソフトウェアの総称をいう。「Android OS」で多く見られるマルウェアは、SMSを悪用するタイプ(SMS Trojan、SMS型トロイの木馬などと呼ばれている)が現在の主流だ。なかでも、プレミアムSMSを悪用するタイプの数が多い。 プレミアムSMSとは、欧州でよく利用されているサービスで、SMSを通じてコンテンツ利用料などを課金できるシステムのこと。 「SMS Trojan」に感染
大金稼ぎのモバイルボットネット「Android.Bmaster」
今回は新手のマルウエアや攻撃手法/ツールなどに関するブログを紹介する。 米シマンテックはAndroidアプリケーション配信ストアで見つかった新たなトロイの木馬型マルウエア「Android.Bmaster」を報告した。このマルウエアは正当な電話設定用アプリケーションに仕込まれ、公式のAndroidマーケットではなく、サードパーティーの配信ストアで提供されていた。 シマンテックが関連のマルウエア制御(C&C)サーバーを解析したところ、ボットネットの存続期間を通じて接続された感染デバイスの総数は数十万台に達することが分かった。これほどの規模になると、ボットネット管理者(ボットマスター)にとって利益につながる可能性がある端末は1日当たり1万~3万台に上り、感染率を維持すれば年間数百万ドルを稼ぐことができる。シマンテックによるとボットマスターは2011年9月からこの感染率を保っている。トロイの木馬が
クックパッドのAndroidアプリに脆弱性、情報漏えいの恐れ
情報処理推進機構とJPCERT コーディネーションセンターは2月22日、クックパッドの複数のAndroidアプリにWebViewクラスに関する脆弱性が見つかったと発表した。情報漏えいが発生する恐れがあり、ユーザーに最新版へのアップデートを呼び掛けている。 脆弱性が存在するのは、Android向けの「クックパッド 1.5.16以前」と「クックパッド のせる 1.1.1以前」のバージョンのアプリ。ほかの不正なAndroidアプリによって、クックパッドのアプリのデータ領域に格納されている情報が漏えいする可能性があるという。 クックパッドは、既にこの脆弱性を修正したバージョンのアプリをAndroid Marketで公開している。
Androidの怪しい「ファンアプリ」に注意、個人情報を盗まれる
米トレンドマイクロは2012年2月20日、Android向けの悪質なアプリを確認したとして注意を呼びかけた。有名なゲームアプリについての「ファンアプリ」に見せかけており、インストールすると個人情報を盗まれるとともに、広告を勝手に表示するという。 ここでのファンアプリ(Fan App)とは、特定のゲームアプリのファン向けに作成されたアプリのこと。そのゲームに関する情報や意見を交換する機能などを備える。 Androidマーケットなどのアプリ配布サイトでは、さまざまなファンアプリが公開されている。トレンドマイクロによれば、そのうちのいくつかは悪質なアプリだったという。同社では、少なくても37件の同様な悪質アプリを確認したとしている。 今回問題となったアプリをインストールすると、Androidスマートフォンの情報を収集し、特定のサーバーに送信する。送信される情報としては、OSのバージョンや電話番号
[3]ユーザー情報を不正に収集、Android狙い撃ちの攻撃も登場
2011年7月には、トロイの木馬「ZeuS-in-the-Mobile」(ZitMo)が発見された。ZeuSというのは、銀行口座や各種ログイン情報といったユーザーの情報を不正に収集するトロイの木馬型マルウエア(Zbot)を簡単に作成できるツール、またはそのツールから作られた不正プログラムである。ZitMoは、こうした不正プログラムのモバイル版だ。 ZitMoの最初のバージョンは、携帯電話のトランザクション認証番号(mTAN)を狙うもので、2010年9月に発見された。感染対象はSymbianを搭載したスマートフォンだったが、その後、Windows MobileとBlackBerryに感染するものも発見された。ただ驚いたことに、2011年7月以前はAndroidを標的としたZitMoの存在に確証がなかった。 またAndroid向けのZitMoは、Symbian、Windows Mobile、B
[2]「トロイの木馬」型が台頭、短期間で機能が大幅に進化
Androidに感染するマルウエアは、次第に洗練されている。その兆候が見えたのが、2010年12月に発見されたトロイの木馬「Geinimi」である。 GeinimiはSMSの読み取り・送信・削除のほか、非常に多くのユーザーデータを読み取る能力があった。電話帳、GPS位置情報、IMEI/IMSIといった端末識別子などのデータを収集する機能を備えていた。 さらに、追加でアプリを自動的にダウンロードし、ユーザーにインストールを促す機能も搭載していた。追加アプリのインストールによって、インストール済みアプリ一覧を送信する、電話をかける、特定URLにアクセスさせるためにブラウザーを起動する、といった機能が追加される仕組みだった。このマルウエアは中国に立てられたサードパーティーアプリ配布サイトで発見された。 root権限を奪う「DroidDream」 次に大きな進化を見せたのが、2011年3月に発見さ
難読化していないAndroidアプリケーションは脆弱性か
このエントリでは、Androidアプリケーションにおいて、難読化が施されていない場合、脆弱性にあたるかについて議論します。 はじめに Androidアプリケーションは主にJava言語で記述され、DEX形式のファイルにコンパイルされたコードを、DalvikというJava互換VM上で実行します。DEXおよびAPKファイルの仕様は公開されており、DEXにはクラスやメソッド等のシンボル名も含まれているため、リバースエンジニアリングが容易であると言われています。このため、Android SDKには標準でProGuardという難読化ツールが添付されています。 それでは、難読化の目的はそもそも何で、難読化でその目的は達成されるのでしょうか。 難読化の目的 Webアプリケーションの場合は、重要なロジックは主にサーバー側に存在するため、ソースコードを外部から取得することはできません。これに対して、スマートフ
【警告】ESファイルエクスプローラーでSDカードの中身が外部から見られてしまう恐れ【要検証】 - satoweb_log
Android端末のファイルマネージャーとして 1・2を争うぐらい 便利に使える ESファイルマネージャーなのですが 特定条件で 外部からファイルが参照できてしまうようです。 事の発端はSGS2をいじっているときに ESファイルエクスプローラーの」NETタブでDropBOXをマウントし 音楽ファイルを再生すると ファイル名の欄に 127.0.0.1:~のアドレスが表示され 「もしかして ローカルに鯖たててる?!!!」 と 不安に思い検証してみました。 IPアドレスが 自宅Wifiで振られたIP ポート番号は 決め打ちです はい。。。 SDカードの中身がまるっと見えちゃいました。。。画像などもぜんぶ参照できちゃいます。 特定条件でしか発動しないとはいえどうなのよこの仕様。。。 Bloger的には画像が参照しやすくていいですが WANからも見れてしまう場合完全にセキュリティホール。 検証1:
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
【Mobile World Congress 2012】 Googleのロックハイマー氏が語る、Androidとセキュリティ
パナソニック、仮想技術でスマートフォンの個人データを保護する技術 
https://jp.techcrunch.com/2012/02/25/20120224so-much-for-bouncer-new-android-malware-uses-facebook-to-spread/
JVN#25731073: 複数のクックパッド製 Android アプリケーションにおける WebView クラスに関する脆弱性
子供のスマホから位置情報などを取得するAndroidアプリ「Kids Log」β版 
「Google Wallet」のセキュリティ問題でプリペイド機能一時停止
https://jp.techcrunch.com/2012/02/11/20120210android-hack-exposes-google-wallet-pin-on-demand/