IoT時代に備えよう、
Androidセキュリティ技術
ソニーデジタルネットワークアプリケーションズ株式会社
Chief Security Technology Officer
今日の話題
1. モバイルシフト
スマホアプリが凄く流行っているという話
2. IoT、組込みAndroid
組込み技術者はAndroidを習得すべきという話
3. Androidアプリの脆弱性問題
いまのアプリはとにかく無防備だという話
4. セキュアなAndroidアプリ開発
実はセキュアなアプリ開発は簡単だという話
2000年頃、社会人4年目
とあるメーカーで
複合機の組込技術者
プライベートで
ケータイWebアプリ開発
送信先ケータイの機種を自動判別し、 液晶のサイズや色数、 メモリの容量に合わせて 最適な画像に自動変換 大きすぎる画像 ケータイで 表示できる画像ケータイWebアプリのサーバーが
ハッカーの踏み台被害に遭う
仕事中にサーバー会社
から電話で叱られ
サーバーが乗っ取られ、
踏み台にされていた
原因:wuftpdのバッファ
オーバーフロー脆弱性
原理が理解できず、技術者
として
悔しい
組込
機器のセキュリティは
放置状態だ!
あなた何やってる
んすかー!!
○○社のサーバー
を
攻撃
してるで
しょー!!
わたしのサーバーが○○社を攻撃 Webサーバー 攻撃! ○○社のサーバー2001年から
ソフトウェアセキュリティの道へ
インターネットセキュ
リティの会社へ
転職
IPA/ISECセキュア・
プログラミング講座
2002年、ソニーDNA
(現在)へ
転職
ソニーのソフトウェア
開発で Try & Error
PC
CE(組込み)機器
Web
会社概要
VAIOのソフト部門が独立してできたソフト専門子会社
会 社 名
ソニーデジタルネットワークアプリケーションズ株式会社
所 在 地
品川区東五反田 2-21-28 (御殿山TEC 13号館)
設
立
2000年 8月 1日
資 本 金
1億円 ソニー(株)100% 出資
事 業 内 容
ソフトウエアの企画、開発、商品化
社 員 数
262名 (2014/4/1現在)
常 勤 役 員
代表取締役 中村 年範
ソニー製品の
さまざまなソフトウェアを手掛ける
10年以上、ソニー製品の
セキュリティ確保に携わる
特徴:セキュリティ専門組織がある
SSAG: Software Security Assurance Group
2002年に1名(松並)から活動開始
現在、約15名のセキュリティ技術者(コンサルタント)で構成
ソニー製品のセキュリティ確保をリード
2002年~ PCアプリ、情報家電のセキュリティ
2009年~ Android製品まるごとのセキュリティ
2013年~ スマホからWebサイトまで総合的なセキュリティ
セキュリティ活動の実績(経験)
みなさまの課題を解決できる経験があります。
ノウハウを共有し社会貢献する活動
• 講演・執筆・取材
• 政府系
• JSSEC
ソニーグループセキュリティガバナンスを支援する活動
• 製品セキュリティ確保に関する基準(STM-0117)
• 脆弱性スキャンツール全社導入
• 製品セキュリティ監査
• ハッカーショー
• コンサルティング
• 等…
製品のセキュリティを確保する活動
• セキュリティポリシー
• セキュアコーディング教育
• プラットフォーム固有セキュアコーディングガイド
• ソフトウェア仕様・設計分析
• ソースコード静的解析
• 脆弱性解析(主にWindows、Android)
• 脆弱性診断(主にWeb)
• セキュリティ技術者養成、等…
お困りごとがありましたら
なんでもご相談ください。
sdna-security@jp.sony.com
モバイルシフト
モバイルシフト 第一の波
WebサイトのユーザーはPCからではなく、
スマホからアクセスする時代になった
Windows王国はとっくになくなり、今はAndroidが王座に座っている
http://jp.techcrunch.com/2014/01/09/20140108androids-rise-to-platform-dominance-in-one-graph/
モバイルはまだまだ伸びしろがある
Mobile-Onlyユーザーが増加の一途
モバイル経由の売上が凄い伸び率
http://web-tan.forum.impressrd.jp/e/2013/08/07/15736
http://news.livedoor.com/article/detail/7622116/
http://itpro.nikkeibp.co.jp/article/NEWS/20131204/522502/
スマホ対応を様子見している会社が多い中、
スマホブラウザ対応したECサイトが儲かっている
私も通勤中の隙間時間に
スマホで買い物してます
スマホは可処分時間の獲得に断然有利!
場所・状況
デスクトップPC
ノートPC
スマホ
書斎
○
○
○
リビング
×
○
○
ダイニング
×
△
○
ソファー
×
△
○
洗面所
×
×
○
トイレ
×
×
○
風呂
×
×
○
布団
×
×
○
通勤電車
×
×
○
勤務中
×
×
○
飲み会
×
×
○
モバイルシフト 第二の波
スマホブラウザ対応 →
ネイティブアプリ
へ取り組む企業が増加
https://play.google.com/store/apps/details?id=jp.co.rakuten.android
https://play.google.com/store/apps/details?id=jp.amazon.mShop.android
https://play.google.com/store/apps/details?id=jp.co.yahoo.android.yauction
なぜ、ネイティブアプリなのか?
理由① 圧倒的な操作性、レスポンス、表現力
同氏は公式iOSアプリをHTML5からネイティブに書き 直 し た こ と に つ い て 、 HTML5 に 賭 け た こ と は Facebookの「最大の戦略ミス」だったと認め、iOSに 続けてAndroidアプリも近いうちにHTML5ではなくネ イティブに移行すると語った。http://www.itmedia.co.jp/news/articles/1209/12/news032.html
http://ggsoku.com/2013/05/column-native-app/
なぜ、ネイティブアプリなのか?
理由② 一等地(ユーザーに一番近い場所)
を狙う
起動までのひと手間
ネイティブアプリならワンタッチ起動! スマホブラウザ対応Webサイトはブックマークの中に埋もれてしまいます1
2
3
なぜ、ネイティブアプリなのか?
理由③ 禁断のユーザー情報をビジネス活用
スマホの中にはビジネス活用したくなる貴
重な情報が満載
Android OSが管理する情報資産 端末の電話番号 電話帳 通話履歴(受発信の日時や番号) IMEI(端末固有ID)、IMSI(回線契約者ID) 位置情報(GPS、WiFi、基地局…) アカウント情報(Googleアカウント…) メディアデータ(写真、動画、音楽、録音…) インストールアプリ一覧 … アプリ アプリが管理する情報資産 Eメール メアド、送受信メール本文、添付… SMS 送受信SMSメッセージ本文… Webブラウザ ブックマーク、閲覧履歴、クッキー… カレンダー 予定、ToDo、イベント… 家計簿 残高、買い物履歴… Facebook アカウント、コンテンツ… Twitter アカウント、コンテンツ… mixi アカウント、コンテンツ… …ご利用の際には、
必ずアプリプラポリを書きましょう。
!
なぜ、ネイティブアプリなのか?
理由④ ユーザーはアプリを使い、
もはやWebブラウザは使わない
http://internet.watch.impress.co.jp/docs/news/20140402_642413.html
すでに2013年に
アプリ圧勝で決着がついている
とっくに分かっている会社は…
楽天株式会社 ヤフー株式会社
https://play.google.com/store/apps/developer?id=Rakuten,Inc.
モバイルシフトの俯瞰図
サーバー PC スマホ スマホ Webブラウザ Webブラウザ ネイティブ アプリ Android, iOS Webアプリ With スマホブラウザ 対応 With ネイティブ アプリ対応 ユーザー モバイルシフトモノのインターネット
IoT(Internet of Things)
これまでインターネットはPCや携帯などいわゆるコンピュータ的なも
のが接続するネットワークとされてきたが、これからはありとあらゆ
るモノがインターネットに繋がってさまざまな新しいサービスを実現
していく。このような現象にInternet of Thingsと名前が付けられた。
スマホで色や明るさ を変えられるライト 屋外の気温、湿度、気圧 を継続観測 http://www.exchangewire.jp/2014/01/24/wirecolumn-thinkjam-arai-maeda-5/ http://www.belkin.com/us/Products/home-automation/c/wemo-home-automation/ スマホで制御できるコン セント 植物の状態を監視・診断 し、適切にアドバイスIoTデバイスは組込み製品。
JASAの皆さん、忙しくなりますよ!
IoTデバイスが凄い勢いで増える
すでに2008年にはIoT
デバイスの数が人類の
全人口を超えた
2020年には500億を超
える勢い
JASAの皆さん、忙しく
なりますよ!
UIを持つIoTデバイスでは
Android採用が進む
Android採用が進む背景
1. UIからネットワーク機能
までほぼ全部入りのOS
がオープンソースで無料
2. スマホ・タブレットの爆
発的普及によりタッチパ
ネル液晶の価格が下落
3. Android開発を習得した
開発者リソースも潤沢
http://gpad.tv/develop/pioneer-cycle-android/ http://monoist.atmarkit.co.jp/mn/articles/1305/15/news030.html http://gpad.tv/develop/seraku-smart-plantfactory/ Android搭載 スマート野菜工場 Android搭載カーナビ Android搭載 サイクルコンピュータIoT最大の懸念事項はセキュリティ
多くの専門家が警笛を
鳴らす
実際に攻撃できること
を証明する研究事例も
http://eetimes.jp/ee/articles/1404/04/news073.html http://itpro.nikkeibp.co.jp/article/COLUMN/20140205/534564/ 家のライトが第三者から勝手にOFFされる。無限に。Androidアプリの
脆弱性問題
2013年、IPAへの
Androidアプリ脆弱性の届出が急増
(JVN iPedia)
脆弱性DBに登録されたAndroidアプリの脆弱性
2013/08/19 Android 版 Yahoo!ショッピングにおける SSL サーバ証明書の検証不備の脆弱性2013/08/19 ヤフオク! における SSL サーバ証明書の検証不備の脆弱性 2013/08/07 ドコモ海外利用アプリにおける接続処理に関する脆弱性
2013/06/18 サイボウズLive for Android における WebView クラスに関する脆弱性
2013/06/18 サイボウズLive for Android において任意の Java のメソッドが実行される脆弱性 2013/06/11 Galapagos Browser における WebView クラスに関する脆弱性
2013/06/11 Angel Browser における WebView クラスに関する脆弱性
2013/06/07 Android 版 ピザハット公式アプリ 宅配ピザのPizzaHut における SSL サーバ証明書の検証不備の脆弱性 2013/05/29 モバツイtouch の Content Provider にアクセス制限不備の脆弱性
2013/05/29 Sleipnir Mobile for Android におけるアドレスバー偽装の脆弱性 2013/05/27 Yahoo!ブラウザーにおけるアドレスバー偽装の脆弱性
2013/04/26 Yahoo!ブラウザーにおけるアドレスバー偽装の脆弱性
2013/04/26 Android 版 jigbrowser+ におけるアドレスバー偽装の脆弱性
2013/04/12 Sleipnir Mobile for Android において任意のエクステンション API が呼び出される脆弱性 2013/03/26 Simeji におけるアクセス制限不備の脆弱性 2013/03/26 OpenWnnフリック入力対応版におけるアクセス制限不備の脆弱性 2013/03/26 COBIME におけるアクセス制限不備の脆弱性 2013/03/26 ArtIME 日本語入力におけるアクセス制限不備の脆弱性 2013/03/29 Android 版 OpenWnn におけるアクセス制限不備の脆弱性 2013/02/14 Android 版 GREE (グリー) におけるディレクトリトラバーサルの脆弱性 2013/01/31 Android 版 ウェザーニュースタッチにおいて位置情報をログに出力する脆弱性
2012/11/04 Android 用 Groupon Redemption アプリケーションにおける SSL サーバを偽装される脆弱性 2012/11/04 Android 用 Chase Mobile Banking アプリケーションにおける SSL サーバを偽装される脆弱性
日本で開発されているであろう アプリだけに絞っています。
96%のアプリに
脆弱性が含まれる可能性がある
96%
脆弱性リスクのある
アプリ
5902件
脆弱性リスクのあるアプリの割合
人気アプリ6170件を検査
(ソニーデジタルネットワークアプリケーションズ調べ)世界的に有名なHP社も
同様のレポートを公開
http://www8.hp.com/us/en/hp-news/press-release.html?id=1528865
http://itpro.nikkeibp.co.jp/article/NEWS/20140319/544723/
でも、安心してください
実は、
知っていれば
防げた
初歩的な脆弱性ばかりなんです
何らかの脆弱性がある
アプリの割合
HTTPS暗号通信が盗
聴・改ざんされるアプ
リの割合
コンポーネントが悪意
あるアプリから悪用さ
れるアプリの割合
Androidアプリ脆弱性
事例1
勝手にツイートされて
しまうTwitterアプリ
勝手にツイートされてしまうTwitterアプリ
【問題】
ユーザーが知らない
うちに、端末の中の
プライベートな写真
が 勝 手 に Twitter に
アップロードされて
しまう問題があった。
アプリ
悪い
アプリ
この画像でTweetして!
お願い♪
オッケー!
勝手にツイートされてしまうTwitterアプリ
【原因】
画像アップロード用
Activityが他のアプ
リからアクセス可能
であった。
つまり他のアプリか
らのIntentを受理し
て処理してしまって
いた。
画像Upload用 Activity悪い
アプリ
アクセス可能!!
勝手にツイートされてしまうTwitterアプリ
【対策】
Activityを非公開に
設定する。
画像Upload用 Activity悪い
アプリ
アクセス不可
---- AndroidManifest.xml ----
<activity
android:name=".UploadActivity"
android:exported="false"
>
非公開
事例2
Twitterアカウントが
乗っ取られてしまう
Twitterアカウントが乗っ取られてしまうゲームアプリ
【問題】
Twitter 連 携 用 の
ID/PWDが他のアプ
リに盗み見られてし
まう問題があった。
ID/PWDが攻撃者に
渡ると攻撃者がユー
ザーとしてTwitterに
ログインできた。
ゲームアプリ
悪い
アプリ
Twitter連携 ID / PWD 悪い人Twitterアカウントが乗っ取られてしまうゲームアプリ
【原因】
ID/PWDをログ出力
してしまっていた。
デバッグ時のログ出
力を残したままアプ
リをリリースした。
ゲーム
アプリ
悪い
アプリ
ログ出力 READ_LOGSログを
監視
Twitterアカウントが乗っ取られてしまうゲームアプリ
【対策】
ログ出力しない。
リリースビルドでは
Log.d(), Log.v()を
ProGuard で 自 動 削
除するなど。
ゲーム
アプリ
悪い
アプリ
READ_LOGS---- proguard-project.txt ----
-assumenosideeffects
class android.util.
Log
{
public static int
d
(...);
public static int
v
(...);
}
ログ出力なし
事例3
Twitterアカウントが乗っ取
られてしまうゲームアプリ
Twitterアカウントが乗っ取られてしまうゲームアプリ
【問題】
Twitter 連 携 用 の
ID/PWDが他のアプ
リに盗み見られてし
まう問題があった。
ID/PWDが攻撃者に
渡ると攻撃者がユー
ザーとしてTwitterに
ログインできた。
ゲームアプリ
悪い
アプリ
Twitter連携 ID / PWD 悪い人Twitterアカウントが乗っ取られてしまうゲームアプリ
【原因】
ID/PWDをログ出力
してしまっていた。
デバッグ時のログ出
力を残したままアプ
リをリリースした。
ゲーム
アプリ
悪い
アプリ
ログ出力 READ_LOGSログを
監視
Twitterアカウントが乗っ取られてしまうゲームアプリ
【対策】
ログ出力しない。
リリースビルドでは
Log.d(), Log.v()を
ProGuard で 自 動 削
除するなど。
ゲーム
アプリ
悪い
アプリ
READ_LOGS---- proguard-project.txt ----
-assumenosideeffects
class android.util.
Log
{
public static int
d
(...);
public static int
v
(...);
}
ログ出力なし