Upgrade to PRO for Only $50/Year—Limited-Time Offer! 🔥

Android のセキュリティよくなってきた話

Avatar for こやまカニ大好き こやまカニ大好き
July 26, 2017
Programming
3
2.5k

Android のセキュリティよくなってきた話

potatotips 42 で話した際の資料です

動画1:
https://youtu.be/UHE31IQUHHc

動画2:
https://youtu.be/b9qb5PqJotc

Avatar for こやまカニ大好き

こやまカニ大好き

July 26, 2017
Tweet

More Decks by こやまカニ大好き

See All by こやまカニ大好き
Androidアプリの One Experience リリース
Avatar for こやまカニ大好き nein37
0
5.3k
マルチモジュールアプリの画面遷移処理実装
Avatar for こやまカニ大好き nein37
0
6.6k
クックパッド Android アプリのマルチモジュール化とデモアプリの活用
Avatar for こやまカニ大好き nein37
1
6.9k
2020年代の WebView 実装 / saikou_no_webview_2021
Avatar for こやまカニ大好き nein37
2
12k
Androidアプリをいつまでも楽しく開発し続けるための取り組み
Avatar for こやまカニ大好き nein37
5
2.6k
minSdkVersion=21にしてから1年経った話
Avatar for こやまカニ大好き nein37
8
2.4k
Androidアプリエンジニアの基礎知識
Avatar for こやまカニ大好き nein37
16
11k
クックパッドアプリのマルチモジュール化への取り組み
Avatar for こやまカニ大好き nein37
11
11k
Androidアプリのデザイン整理への取り組み
Avatar for こやまカニ大好き nein37
1
1.1k

Other Decks in Programming

See All in Programming
20 years of Symfony, what's next?

Avatar for Fabien Potencier fabpot
2
320
TypeScript 5.9 で使えるようになった import defer でパフォーマンス最適化を実現する
Avatar for おおいし bicstone
1
1.2k
Building AI Agents with TypeScript #TSKaigiHokuriku
Avatar for izumin5210 izumin5210
6
1.2k
バックエンドエンジニアによる Amebaブログ K8s 基盤への CronJobの導入・運用経験
Avatar for suna-big sunabig
0
140
分散DBって何者なんだ... Spannerから学ぶRDBとの違い
Avatar for kensho iwashi623
0
180
ソフトウェア設計の課題・原則・実践技法
Avatar for 増田 亨 masuda220
PRO
26
22k
スタートアップを支える技術戦略と組織づくり
Avatar for pospome pospome
8
15k
30分でDoctrineの仕組みと使い方を完全にマスターする / phpconkagawa 2025 Doctrine
Avatar for Takashi Kanemoto ttskch
3
770
20251127_ぼっちのための懇親会対策会議
Avatar for kokamoto01 kokamoto01_metaps
2
420
CSC509 Lecture 14
Avatar for Javier Gonzalez-Sanchez javiergs
PRO
0
220
AIと協働し、イベントソーシングとアクターモデルで作る後悔しないアーキテクチャ Regret-Free Architecture with AI, Event Sourcing, and Actors
Avatar for Tomohisa Takaoka tomohisa
5
19k
AIコーディングエージェント(Manus)
Avatar for kondai kondai24
0
140

Featured

See All Featured
Building Better People: How to give real-time feedback that sticks.
Avatar for Will Jessup wjessup
370
20k
Build your cross-platform service in a week with App Engine
Avatar for Jose L jlugia
234
18k
How to train your dragon (web standard)
Avatar for Monica Dinculescu notwaldorf
97
6.4k
Docker and Python
Avatar for Tania Allard trallard
46
3.7k
How GitHub (no longer) Works
Avatar for Zach Holman holman
316
140k
Responsive Adventures: Dirty Tricks From The Dark Corners of Front-End
Avatar for Vitaly Friedman smashingmag
253
22k
We Have a Design System, Now What?
Avatar for Morgane Peng morganepeng
54
7.9k
Side Projects
Avatar for Sacha Greif sachag
455
43k
Faster Mobile Websites
Avatar for Dean Hume deanohume
310
31k
A better future with KSS
Avatar for Kyle Neath kneath
240
18k
How STYLIGHT went responsive
Avatar for nonsquared nonsquared
100
5.9k
Unsuck your backbone
Avatar for Amy Palamountain ammeep
671
58k

Transcript

  1. Androidのセキュリティ良くなってきた話 @nein37(エヌ・イー・アイ・エヌ・サン・ナナ)

  2. 自己紹介 @nein37(エヌ・イー・アイ・エヌ・サン・ナナ) • クックパッド Androidアプリエンジニア • カニが好き

  3. Androidアプリ セキュリティモデルの歴史 • 6.0 ◦ Runtime Permission ◦ UIオーバーレイにユーザーの許可が必要 •

    7.0 ◦ 一部の画面でUIオーバーレイを禁止 • 8.0 ◦ UIオーバーレイの仕様を大幅変更

  4. 戦いの歴史 • 5.x ◦     : インストール時に権限許可が必要だよ ◦     :

    どうせ誰も権限見てないしやりたい放題 • 6.0 ◦     : 権限は個別にユーザー許可が必要! ◦     : 権限許可画面の上に別の文言を表示して許可させるぞ! • 7.0 ◦     : 権限取得ダイアログではオーバーレイ禁止! ◦     : ウッ

  5. 戦いの歴史 ユーザー補助サービスを使うしかねえ

  6. ユーザー補助サービスとは • 表示中の画面の情報を取得できる ◦ 最前面のアプリ/Activity取得 ◦ 画面の更新タイミング検知 ◦ 画面内に描画されているView情報(idつき) •

    表示中の画面に対してアクションできる ◦ クリック ◦ チェック変更 ◦ 文字入力 • ユーザーの許可が必要(初回のみ)

  7. つまりどういうこと? 本来ユーザー操作が必要な処理を アプリが勝手に行うことができます

  8. デモ

  9. • 大人気アプリのサポートツール ◦ と謳っているだけの悪いアプリ • 他のアプリにオーバーレイで結果を 表示する ◦ と謳っているがユーザー補助サービスを許可 してもらいやすくするだけの説明

  10. https://youtu.be/UHE31IQUHHc

  11. いま何が起きたの?

  12. https://youtu.be/b9qb5PqJotc

  13. やったこと 1. ユーザー補助権限を許可してもらう ---ここまでユーザー操作--- 2. UIオーバーレイの許可画面に遷移し、許可させる 3. UIオーバーレイで画面の表示内容を隠す 4. アプリの権限設定画面に遷移し、すべて許可させる

    5. アプリに戻ってくる 6. UIオーバーレイを非表示にする

  14. ちょっとだけソースコード 地道にViewを探してアクションを繰り返していく

  15. まとめ • Android のセキュリティは良くなってきたけどまだ十分では ない • ユーザー補助サービスは非常に危険なので軽い気持ちで 許可しないようにしましょう