Android セキュリティ本の書評に答えてみる

昨年の12月28日頃発売になりました、Android Security本ですが、おかげさまで好調な売れ行きらしく、もうすぐ増刷するよなんて連絡を出版社さんから頂きました。

ご購入頂いた方ありがとうございました。

申し訳ないことなのですが、テストはしたものの、バグが見つかっております。

バグ一覧に関しては、インプレスさんの方に一覧としてアップされておりますので、ご確認ください。(ソースコード中に半角スペースが抜けているのがほとんどです。本でソースコードのバグとは!)

バグ報告を頂いた方ありがとうございます。バグを発見した場合は、@tao_gakuあたりまでご連絡頂けると幸いです。(公式にはインプレスさんなんでしょうが…)
バグにつきましては、次回バージョンアップ時(増刷時)に修正されます。既にご購入頂いた方には非常に心苦しいです。このあたりソフトと違うとつくづく感じました。やっぱりハードに近いですね。

さて、本を書くと、どのような評価をされているのか気になるもので、ちょくちょく検索するのですが、書評を書いてくださっている方もいます。

Frog On Air

書評:Android Security 安全なアプリケーションを作成する為に

きちんと読んで頂いたのが非常によくわかり、またその上で自分の意見を積み上げていらっしゃいます。大変ありがとうございました。(はやりの、ステマじゃね!と思ったぐらいですよw)以下のご意見に対して、私も現状まったくだ!と思います。只書いてる頃はあまり問題になってなかったんですよ、だから抜けてしまった(といいわけ…)

逆に個人的に少し残念だったのは、アプリケーションにマルウェアなどを仕込まれるなどの改竄をされた場合の検出や対策に関する内容が無かったことでしょうか?

人気の有料アプリが改竄されてGoogle以外のマーケットで無償版として配布されるなどの事例が実際に発生してますので(まぁそこまで責任取れんわという気持ちもありますが)、知識としてどういう防衛策を取り得るのか?というのは知っておきたいような気もします。

アプリケーションの改変のチェックに関して確かに記載していません。

これに対しては、ライトハック対策と、ちゃんと対策に分かれます。

ここで言うライトハックはツールを使ったハッキングを指します。、先日非公開になったツールや、日本でも先日リリースされたソフトがあります。だれでも簡単に改編できてしまいます。(私はこれらのツールが公開すること自体間違っていると思っています)これらのツールに対しては、Manifestファイルのhash値を取っておきプログラム内に埋め込んでおくという対策で十分かと思います。もちろんコードを書き換えてしまうなど狙い撃ちされればだめなのですが、ツール対策という点では十分かと思います。また個人でアプリを作成する方にはライトハック対策でよいのかなと思っています。

もっと厳密に改変チェックをするのであれば、コード内ではなく、サーバーに置いてあるハッシュ値と比較、その場合チェックロジック自体を無効にされる可能性もあるのでチェックロジックの隠蔽、コード自体もハッシュ値を比較とかがあるかと思います。もしくは有償ツールを買うなんて選択肢もあります。

オンラインゲームのチート対策など大変そうですね?このあたりやりすぎてもきりがありませんので、費用対効果を考えて、適当なレベルで対策をすべきだと思います。

また以下の他の方も書かれていますので、ぜひ参考にしてください。特に、「Android絵空事」さんはすばらしいです。

書評てありがたいです。改定版を出せたら加筆させて頂きます。ありがとうございました。

ブログ内の関連する記事


コメント

このブログの人気の投稿

島へ移住の話【炊飯】

ドローンプログラミング体験教室を伊豆大島の小学校でしてきました

情報処理安全確保支援士登録証のカード型が届きました。