今日は南里侑香さんのライブでした、思いっきり失念していました。
知っていたら、真剣にチケット取りに行ったのに orz
というわけで、本日は少し出かけた程度で、基本的におうちでうだうだと
個人的宿題(神戸ITフェスティバルでの講演のメモ)を整理していました。
(1)Androidアプリのセキュリティ
・最近のAndroid事情
・Androidのマルウェア
・Root権限取得アプリ:DroidDream
・個人情報取得アプリ:The Movie, カレログ(最近はカレぴことやらになってるらしい!?)
・攻撃の原因となるAndroidの特徴
第三者マーケットを利用した配布が可能(メール誘導で使われる、人気アプリに偽装する)
公式マーケットにて配布(デコンパイルして偽装アプリをパッケージングして再配布)
・利用者としての対策
Googleプレイを使わない理由の正当性確認
第三者マーケットを信じない(正当性を確認するのが難しい)
・Androidアプリの権限(パーミッション)の問題点
・ユーザに説明する必要がない
・インストール時に1回聞けば、もう聞く必要がない
・権限の例
・インターネット:アプリがネットを使わなくても、広告が使う
・SDカード:SDカード内すべてのファイルに有効になる
・組み合わせ:カメラと位置情報をくっつける
・第三者アプリからの攻撃
ほかのアプリから、アプリの脆弱性を突いてアプリ内にある個人情報等の重要データを取得
・Androidマルウェア壁紙アプリのデモ
・Androidアプリのセキュリティ診断
・目的
・開発者_公開前に安全かどうかを判断
・アプリ提供会社に納品する品質担保の一つとして
・アプリが安全かどうかを判断する手段
・対象となる脆弱性
・端末内のアプリを狙った攻撃
・通信経路やサーバサイドを狙ったアプリ
・利用アプリから端末情報の漏洩
いらない情報を送信していた、不適切な認証情報の管理、
不適切なアプリケーション連携、通信経路の暗号化
脆弱性が生まれる場所
コンテンツプロバイダ、ファイルパーミッション
SQLインジェクション:Android内包のSQLiteで起こることも
(2)HTML5,HTML5.1そしてWebはOSへ
・どのキーワードで来たか、ちょっとした身元調査
→私はHTML5.1で行ったクチ・・・^^;
・スライドに沿いながらも、書いてない内容についてちょこちょこDISっていく(苦笑)
・W3Cの仕様書的には2014年にHTML5が標準化され、2016年にHTML5.1(HTML5+α?)
・スマートフォン向けにMozilla OS作ってる。ネイティブアプリでやってることを
Web技術で実現しようとしている。来年はじめにブラジルで端末が出るらしい
(ブラジルではiPhone高すぎるとのこと)。
・フォクすけのステッカーもらた
<戦利品>
BEST ALBUM(堀江由衣)
つばさ(林原めぐみ)