Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Android のセキュリティよくなってきた話

こやまカニ大好き
July 26, 2017
Programming
3
2.4k

Android のセキュリティよくなってきた話

potatotips 42 で話した際の資料です

動画1:
https://youtu.be/UHE31IQUHHc

動画2:
https://youtu.be/b9qb5PqJotc

こやまカニ大好き

July 26, 2017
Tweet

More Decks by こやまカニ大好き

See All by こやまカニ大好き
Androidアプリの One Experience リリース
nein37
0
1.2k
マルチモジュールアプリの画面遷移処理実装
nein37
0
6.3k
クックパッド Android アプリのマルチモジュール化とデモアプリの活用
nein37
1
6.7k
2020年代の WebView 実装 / saikou_no_webview_2021
nein37
2
11k
Androidアプリをいつまでも楽しく開発し続けるための取り組み
nein37
5
2.5k
minSdkVersion=21にしてから1年経った話
nein37
8
2.3k
Androidアプリエンジニアの基礎知識
nein37
16
11k
クックパッドアプリのマルチモジュール化への取り組み
nein37
11
11k
Androidアプリのデザイン整理への取り組み
nein37
1
980

Other Decks in Programming

See All in Programming
PHPとAPI Platformで作る本格的なWeb APIアプリケーション(入門編) / phpcon 2024 Intro to API Platform
ttskch
0
390
盆栽転じて家具となる / Bonsai and Furnitures
aereal
0
1.9k
functionalなアプローチで動的要素を排除する
ryopeko
1
210
20年もののレガシープロダクトに 0からPHPStanを入れるまで / phpcon2024
hirobe1999
0
1k
Lookerは可視化だけじゃない。UIコンポーネントもあるんだ!
ymd65536
1
130
ChatGPT とつくる PHP で OS 実装
memory1994
PRO
3
190
Beyond ORM
77web
11
1.6k
Androidアプリのモジュール分割における:x:commonを考える
okuzawats
1
280
混沌とした例外処理とエラー監視に秩序をもたらす
morihirok
13
2.3k
技術的負債と向き合うカイゼン活動を1年続けて分かった "持続可能" なプロダクト開発
yuichiro_serita
0
300
Swiftコンパイラ超入門+async関数の仕組み
shiz
0
180
AWSのLambdaで PHPを動かす選択肢
rinchoku
2
390

Featured

See All Featured
The Power of CSS Pseudo Elements
geoffreycrofte
74
5.4k
Learning to Love Humans: Emotional Interface Design
aarron
274
40k
実際に使うSQLの書き方 徹底解説 / pgcon21j-tutorial
soudai
173
51k
Practical Tips for Bootstrapping Information Extraction Pipelines
honnibal
PRO
10
870
The Language of Interfaces
destraynor
155
24k
Git: the NoSQL Database
bkeepers
PRO
427
64k
GraphQLの誤解/rethinking-graphql
sonatard
68
10k
Designing Experiences People Love
moore
139
23k
Fireside Chat
paigeccino
34
3.1k
Done Done
chrislema
182
16k
Building a Scalable Design System with Sketch
lauravandoore
460
33k
Building Adaptive Systems
keathley
38
2.4k

Transcript

  1. Androidのセキュリティ良くなってきた話 @nein37(エヌ・イー・アイ・エヌ・サン・ナナ)

  2. 自己紹介 @nein37(エヌ・イー・アイ・エヌ・サン・ナナ) • クックパッド Androidアプリエンジニア • カニが好き

  3. Androidアプリ セキュリティモデルの歴史 • 6.0 ◦ Runtime Permission ◦ UIオーバーレイにユーザーの許可が必要 •

    7.0 ◦ 一部の画面でUIオーバーレイを禁止 • 8.0 ◦ UIオーバーレイの仕様を大幅変更

  4. 戦いの歴史 • 5.x ◦     : インストール時に権限許可が必要だよ ◦     :

    どうせ誰も権限見てないしやりたい放題 • 6.0 ◦     : 権限は個別にユーザー許可が必要! ◦     : 権限許可画面の上に別の文言を表示して許可させるぞ! • 7.0 ◦     : 権限取得ダイアログではオーバーレイ禁止! ◦     : ウッ

  5. 戦いの歴史 ユーザー補助サービスを使うしかねえ

  6. ユーザー補助サービスとは • 表示中の画面の情報を取得できる ◦ 最前面のアプリ/Activity取得 ◦ 画面の更新タイミング検知 ◦ 画面内に描画されているView情報(idつき) •

    表示中の画面に対してアクションできる ◦ クリック ◦ チェック変更 ◦ 文字入力 • ユーザーの許可が必要(初回のみ)

  7. つまりどういうこと? 本来ユーザー操作が必要な処理を アプリが勝手に行うことができます

  8. デモ

  9. • 大人気アプリのサポートツール ◦ と謳っているだけの悪いアプリ • 他のアプリにオーバーレイで結果を 表示する ◦ と謳っているがユーザー補助サービスを許可 してもらいやすくするだけの説明

  10. https://youtu.be/UHE31IQUHHc

  11. いま何が起きたの?

  12. https://youtu.be/b9qb5PqJotc

  13. やったこと 1. ユーザー補助権限を許可してもらう ---ここまでユーザー操作--- 2. UIオーバーレイの許可画面に遷移し、許可させる 3. UIオーバーレイで画面の表示内容を隠す 4. アプリの権限設定画面に遷移し、すべて許可させる

    5. アプリに戻ってくる 6. UIオーバーレイを非表示にする

  14. ちょっとだけソースコード 地道にViewを探してアクションを繰り返していく

  15. まとめ • Android のセキュリティは良くなってきたけどまだ十分では ない • ユーザー補助サービスは非常に危険なので軽い気持ちで 許可しないようにしましょう