Androidで最近いろんな脆弱性が騒がれてますね。
それによって?だと思いますが、よくAndroidで~セキュアな~的な話やセミナーなんかがやたら多い気がします。
ワタシもWebの方の脆弱性については、ある程度の知識はありますが
Androidは・・・て感じです。
AndroidどころかJavaもこの頃ひどい感じになってきてますね。
怖い世の中です。
そんな人にはこれですね!
Android アプリのセキュア設計 セキュアコーディングガイド
[browser-shot width="300" url="//www.jssec.org/dl/android_securecoding.pdf"]
JSSEC(一般社団法人日本スマートフォンセキュリティ協会)というところが出している
セキュアにコーディングする方法が、ソースコード付きでのってる本(PDF)です。
Androidでお仕事してる人にはマストアイテムでしょう。
しかし、これに書いてある基本事項などもできていないアプリが数多く存在するようです(ワタシ含め)。
企業規模でのアプリでさえ、基本の欠如で脆弱性が見つかることも多いらしいです。
1000アプリ調査したら百件単位で怪しいのが見つかったりとか・・・
特に、個人情報等、機密情報は他の悪意あるアプリに読まれないよう
SDカードに置かないようにしたり、MODE_PRIVATEを使ったり、などなどありますが・・・
これをとりあえず読みましょうってことです。
Android アプリのセキュア設計 セキュアコーディングガイド
あとは利用者の方も、変なパーミッションがあったら使わないようにするのも大事ですね。
ワタシはアプリDLするとき、パーミッション見てやめる割合が2割くらいはありますw
特に広告関係なのかなってのもありますが、READ_PHONE_STATEとか
READ_CONTACTSつかってて怪しいアプリは普通に見かけます。
電話帳抜いて、裏で通信して、サーバーに送るとか
多分ワタシみたいなひよっこでも2~3時間あれば作れます。
何万DLいってても危険なものもあります(実際にありました)
ユーザの皆さんもお気をつけください。
では。