HTTPSで通信するAndroidアプリの開発者はSSLサーバー証明書の検証処理の実装 を

IPA20140919

本日、IPA(独立行政法人情報処理推進機構)から表題のプレス発表が公開されました。

IPAからのプレス発表 (http://www.ipa.go.jp/about/press/20140919_1.html)

内容は2014年9月3日に米国のCERT/CCが行った報告を踏まえたもので、複数のAndroidアプリに「SSL証明書を適切に検証しない脆弱性」があることが確認されたことから、開発者に対して注意喚起するものとなっています。
なお、CERT/CCの報告では問題が確認されたアプリのリストが公開されており、現時点で複数の日本語名のアプリを含む617のアプリが記載されています。

実はこの「SSL証明書を適切に検証しない脆弱性」は2ヶ月に1度くらいの割合でJVN (Japan Vulnerability Notes)にも報告が上がってくるもので、個人的には「何で同じ問題が色々なアプリから上がってくるのだろう?」と思っていました。
JVNが公開している脆弱性対策情報データベースをAndroidというキーワードで検索してみると「SSL証明書を適切に検証しない脆弱性」が多く報告されていることが分かります(「サーバになりすまされる脆弱性」と表記されている場合もあります)。

JVN iPedia 脆弱性対策情報データベース (http://jvndb.jvn.jp/)

多くの報告があるということは、「開発者がついやってしまうこと」が脆弱性につながっているのではないかと推測できます。
例えば以下のようなことです。

  • インターネット上で見つけたhttps通信のサンプルコードを内容を理解せずに流用してアプリを実装する
  • テスト用サーバを使ってアプリのテストする際、証明書エラーのダイアログが出ないように証明書チェックを無効化する
  • テスト項目にアプリが偽のサーバに誘導された場合について項目が無い

どれもやりがちじゃないかなぁ、と思いますが思い当たることはありませんか?

IPAのプレス発表では問題有無を確認するツールとして「アプリの脆弱性の学習・点検ツール AnCoLe」を紹介しています。
Androidアプリの脆弱性の学習・点検ツール AnCoLe (https://www.ipa.go.jp/security/vuln/ancole/index.html)
(タオソフトウェアが開発協力しています)

実装方法については、以下の資料に解説されていますので参照ください。
JSSEC「Androidアプリのセキュア設計・セキュアコーディングガイド」(http://www.jssec.org/report/securecoding.html)
(タオソフトウェアも執筆協力しています)

それからもう一つ(One more thing)。
他社のライブラリを自アプリに組み込んでいる方は、CERT/CCのリストをぜひ確認してください。ライブラリに脆弱性があることが報告されています。
リストの内容は随時更新されているようで、問題が解決されたバージョンの情報等も記載されています。現時点(2014年9月19日)で以下がリストされています。

  • Flurry(3.4.0で解決済み)
  • Chartboost(2.0.2で解決済み)
  • Adcolony(未解決)
  • MoMinis(未解決)
  • Inmobi(未解決)
  • Tapjoy(未解決)
  • Appsflyer(未解決)
  • Gameloft(未解決)
  • Zopim(未解決)
  • Fiksu(未解決)

ライブラリ内の問題は使っている側で見つけるのはとても難しいですし、残念ながらAnCoLeでも検出できません。
タオソフトウェアが提供している「Androidアプリの脆弱性診断ウェブサービス Tao RiskFinder」を使えばライブラリ内の問題も検出できます。
詳細はこちらhttps://www.taoriskfinder.com/

ブログ内の関連する記事

Share on Tumblr
LINEで送る

コメント

コメントを投稿

このブログの人気の投稿

島へ移住の話【炊飯】

イメージ
こんにちは。 タオソフトウエアの杉山です。 今回は炊飯について取り上げます! 電気からガスへ 慣れると戻れない できるだけ大きな家電を買わずにすますため、 島へ移住の話【家電品 – 使わなくなった電子レンジ– 】 で触れた通り、もともと電子レンジで炊飯していました。これが水や米が変わっても使えそうな炊飯釜などを調べている中で、炊飯にガスを使うようになりました。 子どもの頃の実家のご飯も電気釜で、人生のほとんどは電気で炊飯されたご飯を食べてきました。ガスで炊飯するのは小学生の授業での経験ぐらいしかなかったですが、普段の生活で電気からガスへ変えてみたら意外と早く時間短縮になるので驚いています。 ガス代は少し上がりますが急上昇するようなことは無く、電気代が下がったので安上がりになりました。大島はプロパンガスのため、都市ガスだともっと安くなるかなと感じています。 昔のガス釜の炊飯器は壊れず美味しいと聞いたことがありますが、何となく根拠も何もないですが分かる気がします。 ガスに変えたばかりの頃は水量の調整などが難しかったですが、慣れると戻れなくなります。 昔からあるような設計のガス釜を試してみたく調べると高いので鍋で炊いてますが、電気炊飯器には戻れなさそうです。 「普段から購入する玄米」は非常食のご飯に 伊豆大島は前回の噴火から時間が経ち、特に2021年頃は小さな地震が多く発生して「遠くないうちに噴火があるのではないか」と耳にすることが多く、災害対策に関する話を多く聞いてきました。 その中で災害時の非常食になる乾燥米飯(お湯を入れて20分ぐらい待つだけでできるご飯パック)をいただきました。食べてみると美味しかったのですが、以下のような点がありました。 お米そのものの種類が豊富で、乾燥米飯になる前はどんな素材だったのか気になる。 値段が高い。 作るのに待ち時間が水で60分、お湯で15分と長い。お湯を何らかの方法で入手する必要がある。 作るのにかかる時間という点に着目すると、白米をガスでたくプロセスは次のような感じです。(人により好みがあると思いますので、あくまでも一例です。) お米を浸水させて塩をひとつかみぐらい加えておく。ここから完成までフタを開けないこと。 少し強火にかけて沸騰しそうになったところで極弱火にし、10分加熱。 その後20秒ぐらい中火にしてから火を止める。 10
続きを読む

ドローンプログラミング体験教室を伊豆大島の小学校でしてきました

イメージ
最近このタオソフトウエアブログに、弊社杉山の伊豆大島記事がアップされています。彼は昨年から地域活性化企業人として、伊豆大島で仕事をしており通常業務をしておりますが、今回地域活性化企業人の企画第一弾として、ドローンプログラミング体験教室を行いました。(第二弾があるかはよくわかりません)。 コロナにより子供達は不自由な暮らしをしてきています。大人であれば行動制限は仕方のない事だと理解できるし、旅行やイベントはコロナ収まってから行けばよいやと納得も可能です。しかし子供達は修学旅行とか、運動会とか、その年代にしか体験できないイベントが多くあります。行動制限など納得できない事が多いと思います。しかも島という地理的特色により、他の地域の子供達より多く行動に制限がかかってしまっています。 そこで、少しでも子供たちに楽しんでもらえたらと思い、プログラミングとドローンを両方勉強できて、さらに楽しいというお得な、ドローンプログラミング教室を開催しました。 だって、ドローン飛ばすの楽しいですからね 開催目的 大島に住む小中学校の「IT」に対する興味や関心を高めたい。 新型コロナウイルスによる影響で色々な制限をうけている中、少しでも驚きや楽しみを味わってもらいたい。 開催情報 日時:8月29日(月) 13:30~15:30 場所:椿小学校 体育館 対象:椿小学校6年生 参加費:無料 主催:大島町役場 総務課 電子研鑽係(地域活性化企業人制度) 講師:タオソフトウエア株式会社、 株式会社ナレッジエックス 当日 ドローンプログラミング教室は、大島の3つの小学校でそれぞれ行います。第一回目は、つばき小学校。正門がすごい立派で周りの木々も含めとても、趣がある小学校でした。8月29日(月)は、大島町ではまだ夏休みで、人がほとんどいなかったのもあり、静寂に包まれた落ち着いた小学校で素敵でした。 つばき小学校正門 今回のイベントは、大島に赴任している地域活性化企業人が企画しましたが、大人向けのプログラミング教室ならともかく、子供にプログラミングを教えるのは、ちょっと荷が重いかなと思い、教育関係の仕事をしていて、タオソフトウエアの新人教育等にもお世話になったことのある、 株式会社ナレッジエックス さんをお誘いして一緒に授業を行う事にしました。 授業内容 ドローンについての一般知識座学 ドローンを飛ばしてみ
続きを読む

情報処理安全確保支援士登録証のカード型が届きました。

イメージ
情報処理安全確保支援士は、サイバーセキュリティ分野の日本国の国家資格ですが、本日登録証が届きました。 2020年5月に制度見直しが入り、カード型の登録証が登場しました。 制度見直しについて: https://www.ipa.go.jp/siensi/kaisei.html 情報処理安全確保支援士の情報は、あまりネットに上がっていないので、情報共有です。 表 パット見て車の免許証みたい。いや保険証かな、年数によりグリーン、ブルー、ゴールドと色が変わるらしい。(ゴールドとか運転免許みたい)、でもこれって、せっかく作ったのに、今のデジタル庁云々の話の流れで、マイナンバーカードに統合されてしまい短い命なのではないかなと思ったりします。 カードの色について: https://www.ipa.go.jp/siensi/toberiss/index.html ※生年月日の部分だけ加工しました。 ※登録番号は、公開番号なので大丈夫です。 ※名前は、私の場合隠しても意味がないです 裏 「登録削除されたときは、この登録証を返納すること」の記載が気になりました。維持していくのに結構な金額がかかるので、講習等でお金を払うタイミングで、やめるかを決める事になるかと思いますが、カード返納するの忘れそう。 まとめ カードが届いて少し気分が上がりました。1枚のカードでしかないですが、セキュリティ関係もう少しアクティブに動くかなという気持ちになります。 情報処理安全確保支援士は、士業なのに、今のところあまりメリットがないと言われてきてますが、専業業務も少し出てきていますし、中の人も結構いろいろと頑張っているようです。私としては、これを持っていると、脆弱性チェックがしやすくなるように、不正アクセス禁止法がある程度緩和されると良いのになと思ってます。 ふと気が付けば、ここにブログ記事を書くのは2年ぶりでした。久しぶりすぎてログイン自体てこずりました。 Share on Tumblr Tweet
続きを読む