【デブサミ2012】17-D-5 レポート 脆弱性のないプログラミングで品質を高める――Android/Javaセキュアコーディング

CodeZine / 2012年2月28日 14時5分

Androidアプリ脆弱性の3つのカテゴリ

 本稿では、「Developers Summit 2012」(デブサミ2012)において、2月17日に行われたJPCERTコーディネーションセンター 脆弱性アナリスト 久保正樹氏によるセッション「Java/Android セキュアコーディング入門」の内容を紹介する。

JPCERTコーディネーションセンター 脆弱性アナリスト 久保正樹氏


■Androidアプリが抱える潜在的な脆弱性のリスク

 Androidといえばソーシャルアプリというイメージが先行するが、エンタープライズ領域でも、各種のモバイルソリューションが広がっている。そして、新しいアプリケーションフィールドが広がると、必ず問題となるのがセキュリティだ。久保氏によれば、連日のようにスマートフォン向けのマルウエアやrootkitの発見が報告され、マーケットに流通するアプリの情報収集機能の問題点などが指摘されているが、アプリケーションそのものの脆弱性が話題になることは少ないという。

 しかし、Androidアプリに脆弱性がないのかというと、そんなことはなく、いまはまだ注目されていないだけだとして、今後、この問題が顕在化するだろうと、久保氏は警告した。

 アプリそのものの脆弱性が問題になる背景には、Androidプラットフォームの成熟度の問題、およびモバイルデバイスの普及がアプリのユースケースを拡大、もしくは複雑化している現状がある。原因がアプリよりプラットフォームにあるため、久保氏はさらに、「Androidアプリのセキュリティ向上といっても、アプリケーション単体で考えていてはだめです。」と語った。そして、Androidアプリ開発において、どんな脅威に注意すればよいのかという点を、OWASPが公開しているモバイルアプリのリスク トップ10を参考に示しながら説明した。

 例えば、SDカードなど外部メモリにアプリの機微な情報を保存してしまうこと。Webkitを使うためのAPIであるWebviewなどを使うときは、クライアントサイドで何が実行できてしまうかに注意すること。端末IDなどを安易にサービスの認証に使わないこと。サードパーティ製のライブラリやOSSモジュールなど利用する場合の注意。といったような点である。

 また、実際にJPCERTコーディネーションセンター(JPCERT/CC)に届けられるAndroid関係の脆弱性情報は、昨年7月からおよそ30件ほどあり、内容としては、データベースのパーミッションの問題、Webviewの使用に関する脆弱性、JSONハイジャック問題などが寄せられているという。別のAndroidアプリを調査したデータでは、暗号化鍵がハードコーディングされている(42%)、乱数のエントロピー不足(61%)、機微情報の外部送信(39%)などの問題も指摘されている。

モバイルアプリのトップ10リスク(OWASPより)


短期集中セミナーのお知らせ
 本セッションを担当したJPCERTコーディネーションセンターの講師陣による「Androidセキュアコーディングセミナー」を2012年3月14日に開催します(主催:翔泳社/CodeZine)。詳しくは特設ページまで!





■関連記事
【デブサミ2012】17-B-4 レポート オープンソース対応を強化、本格的なクラウドOSとして進化するWindows Azure
【デブサミ2012】17-B-2 レポート 進化しつづけるJava。キーワードは生産性、マルチコアCPU、小型機器、クラウド
【デブサミ2012】16-D-5 レポート iPhoneアプリ開発者座談会2012~エンジニアの将来戦略
【デブサミ2012】16-D-7 レポート Android, iOS, Windows Phone向けにアプリを同時開発せよ
【デブサミ2012】17-D-5 レポート 脆弱性のないプログラミングで品質を高める――Android/Javaセキュアコーディング

■記事全文へ

CodeZine

トピックスRSS

ランキング