Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Android のセキュリティよくなってきた話

こやまカニ大好き
July 26, 2017
Programming
3
2.4k

Android のセキュリティよくなってきた話

potatotips 42 で話した際の資料です

動画1:
https://youtu.be/UHE31IQUHHc

動画2:
https://youtu.be/b9qb5PqJotc

こやまカニ大好き

July 26, 2017
Tweet

More Decks by こやまカニ大好き

See All by こやまカニ大好き
マルチモジュールアプリの画面遷移処理実装
nein37
0
6.1k
クックパッド Android アプリのマルチモジュール化とデモアプリの活用
nein37
1
6.6k
2020年代の WebView 実装 / saikou_no_webview_2021
nein37
2
11k
Androidアプリをいつまでも楽しく開発し続けるための取り組み
nein37
5
2.4k
minSdkVersion=21にしてから1年経った話
nein37
8
2.2k
Androidアプリエンジニアの基礎知識
nein37
16
11k
クックパッドアプリのマルチモジュール化への取り組み
nein37
11
10k
Androidアプリのデザイン整理への取り組み
nein37
1
950
Androidアプリのタブレット向けレイアウト
nein37
4
1.1k

Other Decks in Programming

See All in Programming
カスタムしながら理解するGraphQL Connection
yanagii
1
1.2k
Kotlin2でdataクラスの copyメソッドを禁止する/Data class copy function to have the same visibility as constructor
eichisanden
1
130
Dev ContainersとGitHub Codespacesの素敵な関係
ymd65536
1
120
破壊せよ!データ破壊駆動で考えるドメインモデリング / data-destroy-driven
minodriven
16
4k
Vue3の一歩踏み込んだパフォーマンスチューニング2024
hal_spidernight
3
3.1k
Webの技術スタックで マルチプラットフォームアプリ開発を可能にするElixirDesktopの紹介
thehaigo
2
910
讓數據說話:用 Python、Prometheus 和 Grafana 講故事
eddie
0
350
Kaigi on Rails 2024 - Rails APIモードのためのシンプルで効果的なCSRF対策 / kaigionrails-2024-csrf
corocn
5
3.3k
プロジェクト新規参入者のリードタイム短縮の観点から見る、品質の高いコードとアーキテクチャを保つメリット
d_endo
1
1k
のびしろを広げる巻き込まれ力:偶然を活かすキャリアの作り方/oso2024
takahashiikki
1
410
アジャイルを支えるテストアーキテクチャ設計/Test Architecting for Agile
goyoki
7
2.8k
『ドメイン駆動設計をはじめよう』のモデリングアプローチ
masuda220
PRO
7
430

Featured

See All Featured
What's new in Ruby 2.0
geeforr
342
31k
Code Reviewing Like a Champion
maltzj
519
39k
Rebuilding a faster, lazier Slack
samanthasiow
79
8.6k
Refactoring Trust on Your Teams (GOTO; Chicago 2020)
rmw
31
2.7k
KATA
mclloyd
29
13k
How STYLIGHT went responsive
nonsquared
95
5.2k
Build The Right Thing And Hit Your Dates
maggiecrowley
32
2.4k
Helping Users Find Their Own Way: Creating Modern Search Experiences
danielanewman
29
2.2k
[RailsConf 2023] Rails as a piece of cake
palkan
51
4.9k
What’s in a name? Adding method to the madness
productmarketing
PRO
22
3.1k
The Myth of the Modular Monolith - Day 2 Keynote - Rails World 2024
eileencodes
13
1.9k
Designing Dashboards & Data Visualisations in Web Apps
destraynor
228
52k

Transcript

  1. Androidのセキュリティ良くなってきた話 @nein37(エヌ・イー・アイ・エヌ・サン・ナナ)

  2. 自己紹介 @nein37(エヌ・イー・アイ・エヌ・サン・ナナ) • クックパッド Androidアプリエンジニア • カニが好き

  3. Androidアプリ セキュリティモデルの歴史 • 6.0 ◦ Runtime Permission ◦ UIオーバーレイにユーザーの許可が必要 •

    7.0 ◦ 一部の画面でUIオーバーレイを禁止 • 8.0 ◦ UIオーバーレイの仕様を大幅変更

  4. 戦いの歴史 • 5.x ◦     : インストール時に権限許可が必要だよ ◦     :

    どうせ誰も権限見てないしやりたい放題 • 6.0 ◦     : 権限は個別にユーザー許可が必要! ◦     : 権限許可画面の上に別の文言を表示して許可させるぞ! • 7.0 ◦     : 権限取得ダイアログではオーバーレイ禁止! ◦     : ウッ

  5. 戦いの歴史 ユーザー補助サービスを使うしかねえ

  6. ユーザー補助サービスとは • 表示中の画面の情報を取得できる ◦ 最前面のアプリ/Activity取得 ◦ 画面の更新タイミング検知 ◦ 画面内に描画されているView情報(idつき) •

    表示中の画面に対してアクションできる ◦ クリック ◦ チェック変更 ◦ 文字入力 • ユーザーの許可が必要(初回のみ)

  7. つまりどういうこと? 本来ユーザー操作が必要な処理を アプリが勝手に行うことができます

  8. デモ

  9. • 大人気アプリのサポートツール ◦ と謳っているだけの悪いアプリ • 他のアプリにオーバーレイで結果を 表示する ◦ と謳っているがユーザー補助サービスを許可 してもらいやすくするだけの説明

  10. https://youtu.be/UHE31IQUHHc

  11. いま何が起きたの?

  12. https://youtu.be/b9qb5PqJotc

  13. やったこと 1. ユーザー補助権限を許可してもらう ---ここまでユーザー操作--- 2. UIオーバーレイの許可画面に遷移し、許可させる 3. UIオーバーレイで画面の表示内容を隠す 4. アプリの権限設定画面に遷移し、すべて許可させる

    5. アプリに戻ってくる 6. UIオーバーレイを非表示にする

  14. ちょっとだけソースコード 地道にViewを探してアクションを繰り返していく

  15. まとめ • Android のセキュリティは良くなってきたけどまだ十分では ない • ユーザー補助サービスは非常に危険なので軽い気持ちで 許可しないようにしましょう