カスタムURLスキームの乗っ取りとその対策
カスタムURLスキームの乗っ取りとその対策 May 17, 2021 カスタムURLスキームは、モバイルアプリ内のコンテンツへ直接誘導するディープリンクに広く利用されている¹。そのような中で、2020年3月にLINEはカスタムURLスキーム line:// の使用を非推奨とした²。非推奨の理由をLINEは「乗っ取り攻撃が可能なため」と説明し、代わりにHTTP URLスキームによるリンクを推奨している。この変更に対して私は、なぜHTTP URLスキームによるリンクだと乗っ取り攻撃を防げるのか疑問を抱いた。この疑問に答えるためにLINEアプリの乗っ取りを試み、対策の有効性を確認した。 要約 HTTP URLスキームによるディープリンクは対象のアプリを一意に特定できるため、不正アプリによるリンクの乗っ取りが発生しない。カスタムURLスキームでは複数のアプリが同じスキームを宣言できるため、モバイル
Free Open Source Password Manager | bitwarden
Password ManagerSecure your digital life with the password manager trusted by millions. For personal useMillions of users choose Bitwarden to protect themselves and their families Security for you and your family For business useCountless businesses and enterprises choose Bitwarden to secure their interests Protection for teams and enterprises
Android7.1以前でLet's Encrypt証明書のサイトが見られなくなる | おそらくはそれさえも平凡な日々
追記: その後の動きについて書きました → Let's Encryptの証明書切替周りその後 このサイトはLet's Encryptで証明書発行しているのでタイトルの件が気になったのだが、どうもあまり話題になっていない。恥ずかしながらSSL周り詳しいわけじゃないので、誤っているかも知れない。識者の意見を求む。 Let's Encryptが使われているサイトがAndroid7.1以前のバージョンで今年の9月29日以降見られなくなる可能性がある 延命策は用意されそうだが、それも来年の9月29日まで Let's Encryptのルート証明書切り替え計画に起因している Let's Encryptのルート証明書の変更 Let's Encryptはルート証明書を自身(ISRG)の認証局のルート証明書(ISRG Root X1)に切り替えようとしている。現在は、IdenTrustのルート証明書(DST
子供にタブレット等で遊ばせる際の注意点のまとめ - もとまか日記
以下を読んで。 iTunes のゲームで10分間に24万円も使ってしまった男の子 | maclalala2 日本では定期的に出てくる話なので珍しくもない話ですが・・・オンラインゲームのトラブルに関する「消費者へのアドバイス」は必見な件 以下、iPadやAndroid等を使う際の注意点をまとめてみたメモ。 iOSでアプリ内課金等を制限する方法 以下の方法でアプリ内課金を制御可能です。「設定」「一般」「機能制限」「App内での購入」をオフにするこれでアプリ内課金を利用することは出来なくなります。 また、以下のようにすればアプリのインストール自体が不可になります。「設定」「一般」「機能制限」「インストール」をオフにする そこまでしなくてもいいけど、パスワード入力を必須にしたい、という場合は以下の設定があります。「設定」「一般」「機能制限」「パスワードの要求」を「即時」に変更するこれで、無料アプリ
「無料」に潜むエゴアプリの脅威 ~国内スマホアプリの実態:第2弾~ | トレンドマイクロ セキュリティブログ
スマートフォン(以下、スマホ)、いわゆるモバイル向けアプリには、さまざまな種類があり、中には無料または格安で活用できるものも多く存在します。しかしながら、すべてのアプリが利用者の期待する動作を実現してくれるわけではありません。アプリの性質を正しく評価し、安全で快適に利用するためには、そのリスクに対しても理解が必要です。本ブログでは、第1弾、第2弾、第3弾の 3回に分け、それらの理解の一助となるモバイルアプリの実状とその評価手段の一例を紹介します。 第2弾となる今回は、アプリのプライバシー情報漏えいのリスク(以下、プライバシーリスク)について、その背景や実態調査の結果を踏まえて報告します。 ■無料アプリを実現する広告配信の「エコサイクル」の存在 トレンドマイクロでは、ユーザが認知していないプライバシー情報を勝手に利用するアプリ、ユーザの許諾を得ずに通知画面に広告を強制表示するようなアプリを「
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
