Flutterアプリのセキュリティ対策を考えてみる

Transcript

1. スピーカー名 Flutterアプリの セキュリティ対策を考えてみる FlutterKaigi 2023 - November 10, 2023 batch

   / Kakeru Nakabachi

2. About me 2 Kakeru Nakabachi / batch CyberAgent, Inc. WinTicket,

   Inc. b4tchkn

3. WINTICKETの紹介 3

4. WINTICKETの紹介 4 競輪とオートレースのネット投票サービス

5. AGENDA 
 1. セキュリティ対策ってなに？ 2. Flutterがモバイル端末で動くしくみ 3. Flutterアプリ開発者ができる対策 4. まとめ

   5

6. 6

7. 7 HotReloadすげえ

8. 8 HotReloadすげえ iOSもAndroidも同時 に開発できちゃう

9. 9 HotReloadすげえ iOSもAndroidも同時 に開発できちゃう 開発⼯数が半分！？

10. 10 HotReloadすげえ iOSもAndroidも同時 に開発できちゃう 爆速で開発してリリー スしよう！ 開発⼯数が半分！？

11. 11 HotReloadすげえ iOSもAndroidも同時 に開発できちゃう 爆速で開発してリリー スしよう！ 開発⼯数が半分！？ セキュリティについて考えられていますか？

12. 本セッションのゴール 「うちのアプリもちゃんと対策しないとやばいかも‧‧‧」 「やってたつもりだけど、ここが⾜りていなかった‧‧‧」 12 Flutterアプリのセキュリティ考慮のきっかけに そしてより⾼品質なFlutterアプリ開発を

13. “Caution” セキュリティ対策を考えることは攻撃⼿法を知る必要がある 本セッションでもいくつか紹介しますが、絶対に悪⽤禁⽌です 13

14. 1. セキュリティ対策ってなに？

15. セキュリティ対策ってなに？ セキュリティ対策はわからないことだらけ なにをすれば⾃分たちの開発してるアプリはセキュリティ対策ができてるといえるか 15 その対策を講じたが、 それで完全なのか？ そもそもどのような脅威 があるのか？

16. セキュリティ対策ってなに？ それぞれ⽐較して検討‧対策することが重要 全てのセキュリティ対策をして完全なアプリをつくるのはほぼ不可能 16 攻撃者のコスト 発⽣時の被害 対策コスト

17. セキュリティ対策ってなに？ 今回の対象プラットフォーム 17

18. Flutterコミュニティの セキュリティとの向き合い⽅ 18

19. セキュリティ対策ってなに？ Identify：脆弱性を特定することで、主要なセキュリティリスクを追跡し優先順位付けする Detect：脆弱性スキャンなどの技術を使⽤して脆弱性を検出し、特定する Protect：ソースからの脅威から重要な資産を保護する Respond：脆弱性や攻撃を報告し、トリアージして対応プロセスを定義する Recover：インシデントを最⼩限に抑え、それを抑制させる⼒をつける https://docs.flutter.dev/security Flutterのセキュリティ戦略 19

20. セキュリティ対策ってなに？ Flutterへの脆弱性報告のしかた security@flutter.devにメール 通常Issueで報告するとユーザーを 危険にさらす可能性があるためpublicな場で共有するのは避ける https://docs.flutter.dev/security https://github.com/flutter/packages/security FlutterのSecurity Policy 20

21. セキュリティ対策ってなに？ Flutterチームの脆弱性処理プロセス https://github.com/flutter/packages/security FlutterのSecurity Policy 21

22. ⼀般的なセキュリティ対策と標準について 22

23. セキュリティ対策ってなに？ Open Worldwide Application Security Project ソフトウェアのセキュリティ向上に取り組む オープンソースソフトウェアコミュニティ https://owasp.org/ OWASP

    23

24. セキュリティ対策ってなに？ OWASP Japanもあるよう 3ヶ⽉に1回程度の頻度でイベント開催 github.com/owasp-jaでOWASPドキュメントの⽇本語化 https://owasp.org/www-chapter-japan/ OWASP 24

25. セキュリティ対策ってなに？ OWASP Mobile Application Security OWASP MASVSとOWASP MASTGを提供 • OWASP

    MASVS Mobile Application Security Verification Standard モバイルアプリのセキュリティ標準 • OWASP MASTG Mobile Application Security Testing Guide モバイルアプリのセキュリティテストガイド OWASP MAS 25

26. セキュリティ対策ってなに？ モバイルアプリセキュリティに関する業界標準を 7つのセキュリティ対策グループで表現 • MASVS - STORAGE • MASVS -

    CRYPTO • MASVS - AUTH • MASVS - NETWORK • MASVS - PLATFORM • MASVS - CODE • MASVS - RESILIENCE OWASP MASVS 26

27. セキュリティ対策ってなに？ あわせて⾒たいセッション - DroidKaigi 2023 https://2023.droidkaigi.jp/timetable/492846/ OWASP MASVS 27

28. セキュリティ対策ってなに？ https://owasp.org/www-project-mobile-top-10/# OWASP Top 10 Mobile Risks 28

29. 2. Flutterがモバイル端末で動くしくみ

30. Flutterがモバイル端末で動くしくみ Dartはどのようにモバイル端末で動作するか 30 DartがSwiftとかJava にトランスパイルさ れてる‧‧？ Dartがそのまま動作 している‧‧？ なんかコンパイルされて 変換されたものが動作して

    いる‧‧？ ⾃分たちのアプリが攻 撃された時、攻撃者に はなにが⾒える‧‧？

31. Flutterがモバイル端末で動くしくみ FlutterのFAQ - デバッグビルド VMを使ってコードを実⾏ 再コンパイルせず実⾏中のコードに変更を加えるstateful hot reloadを可能にする デバッグビルド中は右上にdebugラベルが表⽰される https://docs.flutter.dev/resources/faq#run-android

    https://docs.flutter.dev/resources/faq#run-ios Dartはどのようにモバイル端末で動作するか 31

32. Flutterがモバイル端末で動くしくみ FlutterのFAQ - リリースビルド SDKと開発者コードはネイティブコード（機械語）にAOT（Ahead Of Time）コンパイルさ れる エンジンのCとC++のコードはAndroidの場合NDKで、iOSの場合LLVMでコンパイルされる https://docs.flutter.dev/resources/faq#run-android

    https://docs.flutter.dev/resources/faq#run-ios Dartはどのようにモバイル端末で動作するか 32

33. Flutterがモバイル端末で動くしくみ Dart VMという名前は歴史的なもので、Dart VMはプログラミング⾔語の実⾏環境を提供す るという意味でVM • DartVMの機能 ◦ Runtime System

    ◦ Development Experience components accessible via service protocol * Debugging * Profiling * Hot-reload ◦ Just-in-Time (JIT) and Ahead-of-Time (AOT) compilation pipelines ◦ … https://mrale.ph/dartvm/ Dart VM 33

34. Flutterがモバイル端末で動くしくみ • Just-in-Time (JIT) → デバッグビルド時 ◦ 実⾏時にDartをネイティブコード（機械語）にコンパイル ◦ コンパイル時間が短い

    ◦ 起動時間が⻑い • Ahead-of-Time (AOT) → リリースビルド時 ◦ 事前にDartをコンパイル ◦ コンパイル時間が⻑い ◦ 起動時間が短い Dart VM 34

35. Flutterがモバイル端末で動くしくみ 純粋なDartの場合 JITとAOTどちらもDartをDart VMで動作させるためには、common front-end (CFE) で Kernel ASTと呼ばれる中間表現のバイナリに変換する必要がある https://mrale.ph/dartvm/

    Dart VM 35

36. Flutterがモバイル端末で動くしくみ Kernel ASTを覗いてみる https://dart.dev/tools/dart-compile#kernel Dart VM 36

37. Flutterがモバイル端末で動くしくみ Flutterの場合（デバッグビルド） Kernelへのコンパイルと実⾏は 完全分離している CFEは前回のCFEの状態を再利⽤し 変更されたコードだけを再コンパイルできる DEVICEはflutter toolによって Kernelを受け取る https://mrale.ph/dartvm/

    Dart VM 37

38. Flutterがモバイル端末で動くしくみ Flutterの場合（リリースビルド） AOTコンパイル時のプロセスでは、 TFAという静的解析が⾏われる https://mrale.ph/dartvm/ Dart VM 38

39. Flutterがモバイル端末で動くしくみ 抽象化した流れ まとめ 39 CFE Dart Kernel AST Flutter Engine

    AOT コンパイル JIT コンパイル Dart VM

40. Flutterがモバイル端末で動くしくみ 抽象化した流れ まとめ 40 CFE Dart Kernel AST Flutter Engine

    AOT コンパイル JIT コンパイル Dart VM デバッグビルド時は プロセスが永続化 リリースビルド時は TFAによる解析 Flutter Engine内で動く Dart VMのランタイム環境 で実⾏

41. 3. Flutterアプリ開発者ができる対策

42. Flutterアプリ開発者ができる対策 モバイルアプリセキュリティに関する業界標準を 7つのセキュリティ対策グループで表現 • MASVS - STORAGE • MASVS -

    CRYPTO • MASVS - AUTH • MASVS - NETWORK • MASVS - PLATFORM • MASVS - CODE • MASVS - RESILIENCE OWASP MASVS 42

43. Flutterアプリ開発者ができる対策 モバイルアプリセキュリティに関する業界標準を 7つのセキュリティ対策グループで表現 • MASVS - STORAGE • MASVS -

    CRYPTO • MASVS - AUTH • MASVS - NETWORK • MASVS - PLATFORM • MASVS - CODE • MASVS - RESILIENCE OWASP MASVS 43

44. Flutterアプリ開発者ができる対策 MASVS-STORAGE: Storage モバイルアプリケーションは、APIキーなど、ローカルに保存するケースがある アプリの内部ストレージのようなプライベートな場所に保存されることもあれば、他のアプ リがアクセスできるパブリックフォルダに保存されることもある アプリが意図的に保存する機密データが、適切に保護できるようにする必要がある 44 MASVS -

    STORAGE MASVS - STORAGE

45. Flutterアプリ開発者ができる対策 shared_preferences Key-Valueのシンプルなデータを保存 • Android ◦ SharedPreferences • iOS ◦

    UserDefaults https://pub.dev/packages/shared_preferences 45 MASVS - STORAGE MASVS - STORAGE

46. Flutterアプリ開発者ができる対策 shared_preferences Key-Valueのシンプルなデータを保存 • Android ◦ SharedPreferences • iOS ◦

    UserDefaults https://pub.dev/packages/shared_preferences 46 MASVS - STORAGE MASVS - STORAGE 端末がroot化やjailbreakされていると アクセスして⾒れる👁

47. Flutterアプリ開発者ができる対策 flutter_secure_storage データを暗号化して保存 • Android ◦ AESで暗号化 ◦ v5.0.0以降はEncryptedSharedPreferences •

    iOS ◦ Keychain https://pub.dev/packages/flutter_secure_storage 47 MASVS - STORAGE MASVS - STORAGE

48. Flutterアプリ開発者ができる対策 WebView Cookie 適切なタイミングで削除しないと機密情報を閲覧できる ex) WebView クロスアプリ スクリプティング Androidの場合 •

    cache/WebView/Default/HTTP Cache • app_webview/Default/Local Storage/leveldb/hoge.log にHTTPリクエストやレスポンスの中⾝も残っていて閲覧できる 48 MASVS - STORAGE MASVS - STORAGE

49. Flutterアプリ開発者ができる対策 モバイルアプリセキュリティに関する業界標準を 7つのセキュリティ対策グループで表現 • MASVS - STORAGE • MASVS -

    CRYPTO • MASVS - AUTH • MASVS - NETWORK • MASVS - PLATFORM • MASVS - CODE • MASVS - RESILIENCE OWASP MASVS 49

50. Flutterアプリ開発者ができる対策 MASVS-NETWORK: Network Communication モバイルアプリがいかなる状況でも安全な接続ができることを保証する 開発者が特定の認証局のみ信頼して選択する状況をカバーする ⼀般的にcertificate pinningやpublic key pinningと呼ばれる

    50 MASVS - NETWORK MASVS - NETWORK

51. Flutterアプリ開発者ができる対策 MASVS-NETWORK: Network Communication モバイルアプリがいかなる状況でも安全な接続ができることを保証する 開発者が特定の認証局のみ信頼して選択する状況をカバーする ⼀般的にcertificate pinningやpublic key pinningと呼ばれる

    カバーできないと‧‧？🧐 51 MASVS - NETWORK MASVS - NETWORK

52. Flutterアプリ開発者ができる対策 TLS/SSL：通信内容を暗号化するプロトコル 第三者の機関から証明書が発⾏されてサーバー側を認証し、 証明書と公開鍵がクライアントに送られてくる モバイルアプリでApiクライアントライブラリを通して通信する際、HTTPSで通信している ことはわかるが、正しい証明書か判断が難しい 52 TLS/SSL（https）は完全に安⼼ではない MASVS -

    NETWORK

53. Flutterアプリ開発者ができる対策 サーバーとクライアントの間に攻撃者が割り込んで、証明書と公開鍵を不正なものにすり替 えて通信内容を盗聴し、改ざんする 送られてくる証明書に依存している状態 →事前に信頼できる証明書しか受け⼊れたくない 53 中間者攻撃 (MITM 攻撃) ユーザー

    攻撃者 サーバー 問い合わせ 盗聴 証明書 すり替えられた証明書 すり替えられた証明書で 暗号化してリクエスト 正規の証明書で 暗号化リクエスト 復号して盗聴 MASVS - NETWORK

54. Flutterアプリ開発者ができる対策 SSL Pinningとも呼ばれる サーバーから送られてきた正規の認証局から発⾏されたSSL証明書（公開鍵）を予めクライ アントでもって（ピン留めして）おくこと 認証局が発⾏した証明書に依存する代わりに、保存されている証明書に依存するように 54 Certificate Pinning ユーザー

    攻撃者 サーバー 正規の証明書 すり替えられた証明書 ピン留めした証明書 違った場合、通信拒否 MASVS - NETWORK

55. Flutterアプリ開発者ができる対策 http_certificate_pinning https://pub.dev/packages/http_certificate_pinning 55 Certificate Pinning MASVS - NETWORK

56. Flutterアプリ開発者ができる対策 例）https://connpass.com/api/v1/event/ をGETしてみる 56 Certificate Pinning MASVS - NETWORK

57. Flutterアプリ開発者ができる対策 57 Certificate Pinning GETリクエスト
 正規のレスポンスかは不明
 MASVS - NETWORK

58. Flutterアプリ開発者ができる対策 証明書のFinger Printを取得 58 Certificate Pinning MASVS - NETWORK

59. Flutterアプリ開発者ができる対策 59 Certificate Pinning Before After MASVS - NETWORK

60. Flutterアプリ開発者ができる対策 60 Certificate Pinning 取得したFinger Print
 正規のレスポンスを取得可能
 MASVS - NETWORK

61. Flutterアプリ開発者ができる対策 不正なFinger Printの場合 61 Certificate Pinning 適当なFinger Print
 エラーが起きて取得不可能
 MASVS

    - NETWORK

62. Flutterアプリ開発者ができる対策 運用上のデメリット • TLS/SSL証明書は有効期限がある • TLS/SSL証明書が更新されるたびにFinger Printの更新が必要 更新時は基本的に強制アップデートが必要 → サーバーなどリモートデータソースに保存する運用をすれば回避可能

    62 Certificate Pinning MASVS - NETWORK

63. Flutterアプリ開発者ができる対策 モバイルアプリセキュリティに関する業界標準を 7つのセキュリティ対策グループで表現 • MASVS - STORAGE • MASVS -

    CRYPTO • MASVS - AUTH • MASVS - NETWORK • MASVS - PLATFORM • MASVS - CODE • MASVS - RESILIENCE OWASP MASVS 63

64. Flutterアプリ開発者ができる対策 MASVS-PLATFORM: Platform Interaction モバイルアプリのセキュリティはモバイルプラットフォームとの相互作⽤に⼤きく依存して いるが、これらのメカニズムは攻撃者や他のインストールされたアプリによって悪⽤される 可能性がある パスワードなどの機密データは、アプリのユーザーインターフェースに表⽰されることが多 い ⾃動⽣成されるスクリーンショットなどによる偶発的な情報漏洩などプラットフォームのメ

    カニズムを通じて、このデータが意図せず漏洩しないようにする必要がある 64 MASVS - PLATFORM MASVS - PLATFORM

65. Flutterアプリ開発者ができる対策 モバイル端末はバックグラウンドにいるアプリのスナップショットを保存して表⽰ 機密情報が表⽰されると、ユーザーが意図せず情報漏洩する危険性 65 MASVS - PLATFORM MASVS - PLATFORM

66. Flutterアプリ開発者ができる対策 アプリがバックグラウンドに移動した時、Widgetを切り替える 66 MASVS - PLATFORM MASVS - PLATFORM

67. Flutterアプリ開発者ができる対策 アプリがバックグラウンドに移動した時、Widgetを切り替える secure_application https://pub.dev/packages/secure_application 67 MASVS - PLATFORM MASVS -

    PLATFORM

68. Flutterアプリ開発者ができる対策 モバイルアプリセキュリティに関する業界標準を 7つのセキュリティ対策グループで表現 • MASVS - STORAGE • MASVS -

    CRYPTO • MASVS - AUTH • MASVS - NETWORK • MASVS - PLATFORM • MASVS - CODE • MASVS - RESILIENCE OWASP MASVS 68

69. Flutterアプリ開発者ができる対策 MASVS-RESILIENCE: Resilience Against Reverse Engineering and Tampering コードの難読化、アンチデバッグ、アンチタンパリング（改ざん）などの深層防御対策 リバースエンジニアリングや特定のクライアントサイド攻撃に対するアプリの耐性を⾼める

    ために重要である アプリに何重ものセキュリティ制御を加えることで、攻撃者がリバースエンジニアリングを して、そこから貴重な知的財産や機密データを抽出することをより困難にする 69 MASVS - RESILIENCE MASVS - RESILIENCE

70. Flutterアプリ開発者ができる対策 リバースエンジニアリングする2つの⼿法 Reverse Engineering Flutter 70 動的解析 dynamic analysis アプリ実⾏中にバイナリを解析

    静的解析 static analysis アプリのバイナリを実⾏せず解析 MASVS - RESILIENCE

71. Flutterアプリ開発者ができる対策 reFlutter Flutterライブラリのパッチバージョンを使⽤して、Flutterアプリのリバースエンジニアリン グを⽀援する動的解析ツール socket.cc：トラフィックの監視と傍受のためのパッチ dart.cc：クラス、関数、いくつかのフィールドを表⽰するように https://github.com/Impact-I/reFlutter Reverse Engineering Flutter

    71 MASVS - RESILIENCE

72. Flutterアプリ開発者ができる対策 https://swarm.ptsecurity.com/fork-bomb-for-flutter/ Reverse Engineering Flutter 72 RE.apk signed RE.apk MASVS

    - RESILIENCE

73. Flutterアプリ開発者ができる対策 Traffic monitoring and interception ソースコードのどのあたりで どういうリクエストを送信しているかわかる 処理の過程でどんな値が受け渡されてる？ Reverse Engineering

    Flutter 73 MASVS - RESILIENCE

74. Flutterアプリ開発者ができる対策 Frida JSコードをpythonのファイルに埋め込んでHookしたいコードのオフセット情報をもとに pythonでコードをHookして実⾏可能な動的解析ツール Hook：アプリケーション外に定義されたスクリプトを実⾏ 実⾏中のDartの関数の引数を覗いたり、返り値を変更したりできる https://frida.re/ Reverse Engineering Flutter

    74 MASVS - RESILIENCE

75. Flutterアプリ開発者ができる対策 flutter logsコマンド 端末をPCと接続してFlutter製アプリを実行するとログが覗ける👀 print()を使って機密情報をプリントしている場合危険 FlutterKaigi 2023を実行した結果↓ https://docs.flutter.dev/reference/flutter-cli 75 MASVS

    - RESILIENCE Reverse Engineering Flutter

76. Flutterアプリ開発者ができる対策 リバースエンジニアリングする2つの⼿法 Reverse Engineering Flutter 76 動的解析 dynamic analysis アプリ実⾏中にバイナリを解析

    静的解析 static analysis アプリのバイナリを実⾏せず解析 MASVS - RESILIENCE

77. Flutterがモバイル端末で動くしくみ 抽象化した流れ まとめ 77 CFE Dart Kernel AST Flutter Engine

    AOT コンパイル JIT コンパイル Dart VM デバッグビルド時は プロセスが永続化 リリースビルド時は TFAによる解析 Flutter Engine内で動く Dart VMのランタイム環境 で実⾏

78. Flutterアプリ開発者ができる対策 Reverse Engineering Flutter 78 MASVS - RESILIENCE

79. Flutterアプリ開発者ができる対策 Reverse Engineering Flutter 79 MASVS - RESILIENCE

80. Flutterアプリ開発者ができる対策 Android端末内のapkの取得 https://developer.android.com/studio/command-line/adb?hl=ja Reverse Engineering Flutter 80 MASVS - RESILIENCE

81. Flutterアプリ開発者ができる対策 Android端末内のapkの取得 https://developer.android.com/studio/command-line/adb?hl=ja Reverse Engineering Flutter 81 MASVS - RESILIENCE

    assetが含まれる

82. Flutterアプリ開発者ができる対策 Android端末内のapkの取得 https://developer.android.com/studio/command-line/adb?hl=ja Reverse Engineering Flutter 82 MASVS - RESILIENCE

    ソースコードが含ま れる

83. Flutterアプリ開発者ができる対策 デバッグビルド時のunzipしたarm64_v8a.apk Reverse Engineering Flutter 83 MASVS - RESILIENCE

84. Flutterアプリ開発者ができる対策 デバッグビルド時のunzipしたapk Kernelはビルドプロセスでkernel_blob.binとしてまとめられるよう コメントつきのソースコードを覗くことができてしまう デバッグビルドしたapkをリリースするとコード流出に繋がる⚡⛑ Reverse Engineering Flutter 84 MASVS

    - RESILIENCE

85. Flutterアプリ開発者ができる対策 リリースビルド時のunzipしたarm64_v8a.apk kernel_blob.binは存在しない Reverse Engineering Flutter 85 MASVS - RESILIENCE

86. Flutterアプリ開発者ができる対策 リリースビルド時のunzipしたarm64_v8a.apk lib/x86_64/libapp.soが存在する Reverse Engineering Flutter 86 MASVS - RESILIENCE

87. Flutterアプリ開発者ができる対策 リリースビルド時のunzipしたarm64_v8a.apk Reverse Engineering Flutter 87 • libapp.so ◦ 実際のアプリケーションコード

    • libflutter.so ◦ Flutter Engineを含むFlutter SDK側の コード MASVS - RESILIENCE

88. Flutterアプリ開発者ができる対策 libapp.soの解析 Reverse Engineering Flutter 88 MASVS - RESILIENCE

89. Flutterアプリ開発者ができる対策 libapp.soの解析 専⽤の解析ツールがある https://github.com/rscloura/Doldrums https://github.com/mildsunrise/darter どちらも現状、Dart 2.5や2.10でしか動作しない Reverse Engineering Flutter

    89 MASVS - RESILIENCE

90. Flutterアプリ開発者ができる対策 FlutterKaigi/conference-app-2023 - base.apk unzip_base_apk/assets/flutter_assetes/assets/svg 90 Reverse Engineering Flutter

91. Flutterアプリ開発者ができる対策 FlutterKaigi/conference-app-2023 - arm64_v8a.apk 91 Reverse Engineering Flutter

92. Flutterアプリ開発者ができる対策 FlutterKaigi/conference-app-2023 - arm64_v8a.apk 92 Reverse Engineering Flutter

93. Flutterアプリ開発者ができる対策 Reverse Engineeringの対策 https://docs.flutter.dev/deployment/obfuscate Flutter Obfuscate 93 MASVS - RESILIENCE

94. Flutterアプリ開発者ができる対策 難読化と呼ばれるDartを⼈間が読めないコードに変換する処理 元のDartとの対応を表したシンボルファイルも出⼒され、解読したいときはそれをもとに解 読する Flutter Obfuscate 94 main aBcD print(ʻHello

    World.’); eFgHIJK 難読化 シンボルファイル（イメージ） MASVS - RESILIENCE

95. Flutterアプリ開発者ができる対策 エラー監視ツール使⽤時の注意 エラー内容も難読化されて送信されるため、ツールごとに⽤意されている⽅法でシンボル ファイルをアップロードする必要がある アップロードしないと、ツールが解読できずエラー内容も難読化されてしまい、 StackTraceなど追えない Flutter Obfuscate 95 MASVS

    - RESILIENCE

96. 3. まとめ

97. “Caution” セキュリティ対策を考えることは攻撃⼿法を知る必要がある 本セッションでもいくつか紹介しますが、絶対に悪⽤禁⽌です 97

98. まとめ • 攻撃者のコスト‧発⽣時の被害‧対策コストを⽐較して検討することが重要 • アプリのセキュリティ対策はOWASP MASの業界標準が参考になる • 今回紹介した内容は⼀部にすぎない • すべての攻撃を防ぐことは不可能に近いが、攻撃の難易度を上げる対策をすることが

    ⼤切 • Obfuscateは対応が簡単で、エラー監視ツールが対応していれば効果抜群 • セキュリティ考慮して⾼品質なFlutterアプリ開発をみんなで⽬指していきましょう💪 98

99. 本セッションのゴール 「うちのアプリもちゃんと対策しないとやばいかも‧‧‧」 「やってたつもりだけど、ここが⾜りていなかった‧‧‧」 99 Flutterアプリのセキュリティ考慮のきっかけに そしてより⾼品質なFlutterアプリ開発を

100. さいごに https://developers.cyberagent.co.jp/blog/?s=winticket+flutter 100 WINTICKETではたくさんのFlutterに関わる記事を執筆しています

101. 参考 • https://docs.flutter.dev/security • https://github.com/flutter/packages/security • https://mas.owasp.org/MASVS/ • https://swarm.ptsecurity.com/fork-bomb-for-flutter/ •

     https://research.miidas.jp/2020/03/frida-%E5%85%A5%E9%96%80/ • https://zenn.dev/tsuruo/articles/48909d22d49ffe • https://mrale.ph/dartvm/ • https://dart.dev/overview#platform • https://www.appsealing.com/flutter-security/ 101

102. 参考 • https://kuwabaray.hatenablog.com/entry/2022/08/22/195240 • https://medium.com/flutter-community/securing-your-flutter-applications-77c2bf 3ff25e • https://note.com/joyous_yarrow436/n/n15833203846c • https://medium.com/@rondalal54/reverse-engineering-flutter-apps-5d620bb105c0

     • https://medium.com/@ostorlab/flutter-reverse-engineering-and-security-analysis- 41433f5671f3 • https://cryptax.medium.com/reversing-an-android-sample-which-uses-flutter-23c 3ff04b847 • https://qiita.com/tetsukay/items/ad6cf55c740a57050cd3 102

103. 103