昨日JSSEC(日本スマートフォンセキュリティ協会)から公開された、プログラマ向けのドキュメントをご紹介しましたが、今度はIPAからプログラマ向けのドキュメントが公開されました。
IPA テクニカルウォッチ
『Androidアプリの脆弱性』に関するレポート
~簡易チェックリストで脆弱(ぜいじゃく)性を作り込みやすいポイントを確認~

ipa_security_book.png

23ページなのでさくっさくっと読んでみました。

記載範囲としてはIPAが調査した脆弱性で、件数が多い物を中心に解説されています。

ページ数も多くなく、読むのにそんなに苦労しないため、つぼを押さえるにはとても良いと感じました。

IPAに届け出られるAndroid アプリの脆弱性関連情報も増加傾向にある。
届け出られた脆弱性は、アクセス制限の不備に関するものが 7 割以上であった。さらに分析した
結果、これらは Android の仕組みを理解し、適切にアクセス制限の設定をしていれば防ぐことの
できる脆弱性であることがわかった。

うんうん!

私的には、「IPAに届けられたAndroidアプリの脆弱性内訳」が気に入りました。全体で42件と少なく感じますが。仕様なのか脆弱性なのか、マルウェアなのか判断つけるのは非常に難しいので(まぁ、多分ほとんどはマルウェアなんだろうが)完全に脆弱性と言えるのが32件!氷山の一角ですので、この裏には沢山のアプリがあるんだと思います。
こういった実際の数字は非常にうれしいです。参考にさせて頂きます!

と思ったんだが、IPAてこれマルウェアーっていうのかなり難しいと思うから、マルウェアーを脆弱性アプリとして認定しちゃえばいいんじゃない?「このアプリは電話帳内データをサーバーに送る脆弱性があります!」的な事を考えたけど、どーせSSLか何かで送ってるから不採用ですね…

ipc_circle.png

話はそれましたが、よく見たら、「なお、本書では Android アプリの具体的なコーディングについては触れていない。コーディン
グ例は、日本スマートフォンセキュリティ協会(JSSEC)が公開している『Android アプリのセ
キュア設計・セキュアコーディングガイド』2などをご参照いただきたい。」って書いてあって、仕事早!とちょっと思ったり…

ちょっと意見

P4 「なお、通常は他のアプリの専用領域にアクセスすることはできないが、Android の仕組みを使
用することにより、アクセスできるようになる」
→これだと、不正なアプリがアンドロイドの仕組みを使ってと誤解釈される可能性があるので、「なお、通常は他のアプリの専用領域にアクセスすることはできないが、脆弱性を作りこむことでアクセスできるようになる」がいいんじゃないかと

P15 「(2) ファイルが不正なアプリからアクセス可能」は、「データが不正な…」の方が良いかなと感じました。他の部分で「ファイル」という言葉が沢山でてきますので、最初、あれ?あれ?って現在説明されている内容を少し見失いました。

と、せっかく読んだので気がついた事です。些細な事なのでここに落書きです。

アンドロイドのプログラマの方には一読される事をお勧めします。
こういったドキュメントがどんどん公開されることにより、アンドロイドソフトの品質はどんどん良くなっていってほしいです。

ブログ内の関連する記事