Google IO 2019 recap Security

53850955f15249a1a9dc49df6113e400?s=47 LINE Developers
May 22, 2019
Technology
1
1.1k

Google IO 2019 recap Security

Google I/O 2019 Recap at LINE
コキチーズ

53850955f15249a1a9dc49df6113e400?s=128

LINE Developers

May 22, 2019
Tweet

More Decks by LINE Developers

See All by LINE Developers
53850955f15249a1a9dc49df6113e400?s=48 line_developers
0
17
53850955f15249a1a9dc49df6113e400?s=48 line_developers
1
160
53850955f15249a1a9dc49df6113e400?s=48 line_developers
0
130
53850955f15249a1a9dc49df6113e400?s=48 line_developers
0
140
53850955f15249a1a9dc49df6113e400?s=48 line_developers
0
130
53850955f15249a1a9dc49df6113e400?s=48 line_developers
5
500
53850955f15249a1a9dc49df6113e400?s=48 line_developers
0
470
53850955f15249a1a9dc49df6113e400?s=48 line_developers
0
410
53850955f15249a1a9dc49df6113e400?s=48 line_developers
0
1.2k

Other Decks in Technology

See All in Technology
C5e26822fb2aa64410b50eac63ef7d84?s=48 fill9120
1
220
4b2f3a64637b51e81813accbe8a98083?s=48 miura55
0
260
Ad22fcf5773b906c08330f4d57242212?s=48 inductor
13
2.1k
A500dfe11c36aa2912eaf33176fe129f?s=48 oyakata2438
3
440
Ecad9d801d79f6c6e5df93094690685e?s=48 sinsoku
6
860
1f745ff900e1be51aedae18cae76593c?s=48 kurochan
0
1.7k
3a9dc8db324dc41de538f0f48e4bd45d?s=48 oguzhan
1
180
75fd80a8ace6ab292a7de563e018ae11?s=48 takashi_toyosaki
0
190
9e7a653ed313b3da4b263a772bfc5026?s=48 clustervr
0
200
893dd6e1aa73c35621327c385cb27207?s=48 konnnnnok
0
110
5919537a0ecfa5d4dea704cf878ae90e?s=48 toshimaru
29
11k
3499a1d71fa70b8ee44816ca9e7329fe?s=48 bells17
5
810

Featured

See All Featured
9375a9529679f1b42b567a640d775e7d?s=48 schacon
144
6.4k
D47656e20ff5e42f125fc5ea0fd636c6?s=48 tmm1
61
7.4k
Ef32e0b1ac5082450dc8c1fca3a26b5c?s=48 cherdarchuk
65
250k
E4f5d494ebdc9e7cce1aecf3ce3e8bc1?s=48 shpigford
163
18k
Ded01cdab114abe4ec13511e4c25b9bb?s=48 andyhume
60
2.4k
465724d73fe3a92c0879fdfb43a3a6f3?s=48 philhawksworth
189
17k
4394ceb8b277f35ee3da7030384efb5d?s=48 davidbonilla
68
3.4k
25c7c18223fb42a4c6ae1c8db6f50f9b?s=48 mojombo
353
62k
C0b42577cfc2b321be3474618107e933?s=48 samanthasiow
51
5.9k
9fa239b3154a0169d99ab7bf1422dd12?s=48 marcelosomers
221
14k
D83926c323d4f9289f947b4b4e76b939?s=48 jensimmons
205
9.9k
B83d5b590577969ee79a5ad845411a7d?s=48 ammeep
652
54k

Transcript

  1. Google I/O 2019 recap Security コキチーズ@k2wanko Google I/O 2019 Recap

    at LINE Slideは DarkTheme セキュリティエンジニア

  2. コキチーズ@k2wanko セキュリティエンジニア 会社のサービスの脆弱性探したり Bug Bountyを運営したりしてる WebとAndroidとGoとGCPとFirebaseとかが好き Splatoon 2のウデマエはX2300~2500くらい PUBGも好きです。

  3. 今年は セキュリティとプライバシーを 強調していた (とコキチーズは思った)

  4. Incognito mode

  5. Incognito mode

  6. Android

  7. Platform - Encryption - Qからはハードウェアアクセラレーションがサポートされないデバイスでも ストレージを暗号化する - Adiantumで遅くならないようにしてる - TLS1.3がデフォルトで有効

    - Project Mainline - OSのコンポーネントのいくつかを Play Storeから配信するプロジェクト - WebViewとは違って、もっと低レイヤーのコンポーネントのアップデートが可能になる - Hardening - ソフトウェアコーデックの Sandbox - アドレス空間のランダム化 (ASLR) - https://security.googleblog.com/2019/05/queue-hardening-enhancements.html - App Signing by Google Play - 弱い暗号鍵はGoogleが強い暗号鍵にして署名してくれるようになる

  8. Privacy Checklist https://developer.android.com/preview/privacy/checklist - Scoped storage - More user control

    over location permissions - Background activity starts - Non-resettable hardware identifiers - Permission for wireless scanning

  9. Scoped storage - /sdcard へのアクセスを制限 - getExternalFilesDir() で読み書きは変わらない ただし、他のアプリが作成したファイルにはアクセスできなくなる -

    他のアプリが作ったファイルへのアクセスはDocumentProviderを使う - 写真、音声、動画は MediaStoreからアクセスする - EXIFへのアクセスにはACCESS_MEDIA_LOCATIONが必要

  10. More user control over location permissions - バックグラウンドで位置情報を取得する場合の権限が分離 - ユーザーが選べるようになった

    <manifest> <uses-permission android:name="android.permission.ACCESS_COARSE_LOCATION" /> <uses-permission android:name="android.permission.ACCESS_BACKGROUND_LOCATION" /> </manifest>
  11. None

  12. Jetpack Security - セキュリティのベストプラクティスに従って 暗号化の処理ができるライブラリ - SharedPreferenceの暗号化などに使える - Android 6.0以上をサポート

    使えるAPI - EncryptedFile - EncryptedSharedPreferences

  13. EncryptedFile String masterKeyAlias = MasterKeys.getOrCreate(MasterKeys.AES256_GCM_SPEC ); File file = new

    File(context.getFilesDir(), "secret_data"); // write to the encrypted file EncryptedFile encryptedFile = EncryptedFile.Builder(file, context, masterKeyAlias, EncryptedFile.FileEncryptionScheme .AES256_GCM_HKDF_4KB ).build(); // read the encrypted file FileOutputStream encryptedOutputStream = encryptedFile.openFileOutput (); FileInputStream encryptedInputStream = encryptedFile.openFileInput();

  14. EncryptedSharedPreferences String masterKeyAlias = MasterKeys.getOrCreate(MasterKeys.AES256_GCM_SPEC ); // use the shared

    preferences and editor as you normally would SharedPreferences sharedPreferences = EncryptedSharedPreferences .create("secret_shared_prefs" , masterKeyAlias, context, EncryptedSharedPreferences .PrefKeyEncryptionScheme .AES256_SIV, EncryptedSharedPreferences .PrefValueEncryptionScheme .AES256_GCM); SharedPreferences .Editor editor = sharedPreferences .edit();

  15. Web

  16. Google Vulnerability Reward Program payputs in 2018 - Googleに報告される脆弱性の半分はWebの脆弱性

  17. Content Security Policy (CSP) - サイトが読み込めるリソースをホワイトリストできめ細やかに設定できる - Response Headerに「Content-Security-Policy: <policy>」と書くと有効にできる。

    - 「Content-Security-Policy-Report-Only」でリソースを実際にブロックせず エラーだけ確認することもできる。

  18. nonce & strict-dynamic based CSP - Googleは nonceとstrict-dynamicを使ったCSPを推奨している - nonceはランダムな値

    Content-Security-Policy: script-src ‘nonce-random123’ - nonce属性が一致しない場合は実行されない <script>alert(‘xss’)</script> // block! <script nonce=”random123”>alert(‘this is fine!’)</script> // run

  19. nonce & strict-dynamic based CSP - strict-dynamicがある場合は nonceで許可されたscriptが動的にリソースを読み込むことを許可する Content-Security-Policy: script-src

    ‘nonce-random123’ ‘strict-dynamic’; <script nonce=”random123”> var s = document.createElement('script') s.src = '/path/to/script.js' ✔ document.head.appendChild(s) </script>

  20. CSP hashes - 静的ファイルの場合はハッシュを埋め込んで許可することもできる Content-Security-Policy: script-src ‘sha256-...’ ‘strict-dynamic’;

  21. Detailed guide https://csp.withgoogle.com/docs/index.html

  22. CSPが安全か確認するツール https://csp-evaluator.withgoogle.com/

  23. Trusted Type - CSPでは防げないDOM Based XSSを防ぐためのAPI - innerHTMLやlocation.hrefなど危険なAPIに値を入れるときは stringではなく信頼できる型に変換して入力するようにする

  24. TrustedTypeの作成 const templatePolicy = TrustedTypes.createPolicy('template', { createHTML: (templateId) => {

    const tpl = templateId if (/^[0-9a-z-]$/.test(tpl)) { return `<link rel="stylesheet" href="./templates/${tpl}/style.css">` } throw new TypeError(); } }); const html = templatePolicy.createHTML(location.hash.match(/tplid=([^;&]*)/)[1]) // html instanceof TrustedHTML document.head.innerHTML += html

  25. CSPでポリシーを制御 Content-Security-Policy: trusted-types template

  26. Trusted Typeのpolyfilled https://github.com/WICG/trusted-types

  27. Fetch Metadata - ブラウザがリソースを取得する際にrequestに Metadataを付与する仕様 Sec-Fetch-Mode: no-cors Sec-Fetch-Site: same-origin

  28. Cross-Origin-Opener-Policy - window.openの挙動についての仕様 - Cross-Origin-Opener-Policyヘッダーをつけて same originやsame siteに制限できる Cross-Origin-Opener-Policy: same-origin

  29. No Security No Life @k2wanko