Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Android のセキュリティよくなってきた話

Avatar for こやまカニ大好き こやまカニ大好き
July 26, 2017
Programming
3
2.5k

Android のセキュリティよくなってきた話

potatotips 42 で話した際の資料です

動画1:
https://youtu.be/UHE31IQUHHc

動画2:
https://youtu.be/b9qb5PqJotc

Avatar for こやまカニ大好き

こやまカニ大好き

July 26, 2017
Tweet

More Decks by こやまカニ大好き

See All by こやまカニ大好き
Androidアプリの One Experience リリース
Avatar for こやまカニ大好き nein37
0
5.3k
マルチモジュールアプリの画面遷移処理実装
Avatar for こやまカニ大好き nein37
0
6.5k
クックパッド Android アプリのマルチモジュール化とデモアプリの活用
Avatar for こやまカニ大好き nein37
1
6.9k
2020年代の WebView 実装 / saikou_no_webview_2021
Avatar for こやまカニ大好き nein37
2
11k
Androidアプリをいつまでも楽しく開発し続けるための取り組み
Avatar for こやまカニ大好き nein37
5
2.6k
minSdkVersion=21にしてから1年経った話
Avatar for こやまカニ大好き nein37
8
2.4k
Androidアプリエンジニアの基礎知識
Avatar for こやまカニ大好き nein37
16
11k
クックパッドアプリのマルチモジュール化への取り組み
Avatar for こやまカニ大好き nein37
11
11k
Androidアプリのデザイン整理への取り組み
Avatar for こやまカニ大好き nein37
1
1.1k

Other Decks in Programming

See All in Programming
私達はmodernize packageに夢を見るか feat. go/analysis, go/ast / Go Conference 2025
Avatar for m_t_tion1 kaorumuta
2
500
Railsだからできる 例外業務に禍根を残さない 設定設計パターン
Avatar for えいえい ei_ei_eiichi
0
350
Local Peer-to-Peer APIはどのように使われていくのか?
Avatar for Hal hal_spidernight
2
450
Introducing ReActionView: A new ActionView-Compatible ERB Engine @ Kaigi on Rails 2025, Tokyo, Japan
Avatar for Marco Roth marcoroth
3
930
(Extension DC 2025) Actor境界を越える技術
Avatar for Himeshi teamhimeh
1
230
CI_CD「健康診断」のススメ。現場でのボトルネック特定から、健康診断を通じた組織的な改善手法
Avatar for teamLab teamlab
PRO
0
180
Things You Thought You Didn’t Need To Care About That Have a Big Impact On Your Job
Avatar for Holly Cummins hollycummins
0
150
Breaking Up with Big ViewModels — Without Breaking Your Architecture (droidcon Berlin 2025)
Avatar for Stelios Frantzeskakis steliosf
PRO
1
340
GitHub Actions × AWS OIDC連携の仕組みと経緯を理解する
Avatar for Itaru Ota ota1022
0
240
Signals & Resource API in Angular: 3 Effective Rules for Your Architecture @BASTA 2025 in Mainz
Avatar for Manfred Steyer manfredsteyer
PRO
0
100
CSC509 Lecture 05
Avatar for Javier Gonzalez-Sanchez javiergs
PRO
0
300
GraphQL×Railsアプリのデータベース負荷分散 - 月間3,000万人利用サービスを無停止で
Avatar for Koya Masuda koxya
1
1.2k

Featured

See All Featured
A Modern Web Designer's Workflow
Avatar for Chris Coyier chriscoyier
697
190k
[RailsConf 2023 Opening Keynote] The Magic of Rails
Avatar for Eileen M. Uchitelle eileencodes
31
9.7k
GraphQLの誤解/rethinking-graphql
Avatar for sonatard sonatard
73
11k
[RailsConf 2023] Rails as a piece of cake
Avatar for Vladimir Dementyev palkan
57
5.9k
Exploring the Power of Turbo Streams & Action Cable | RailsConf2023
Avatar for Kevin Liebholz kevinliebholz
34
6.1k
Six Lessons from altMBA
Avatar for Skipper Chong Warson skipperchong
28
4k
What's in a price? How to price your products and services
Avatar for Michael Herold michaelherold
246
12k
4 Signs Your Business is Dying
Avatar for Josh Pigford shpigford
185
22k
Build The Right Thing And Hit Your Dates
Avatar for Maggie C. maggiecrowley
37
2.9k
No one is an island. Learnings from fostering a developers community.
Avatar for Antonio thoeni
21
3.5k
ピンチをチャンスに:未来をつくるプロダクトロードマップ #pmconf2020
Avatar for Aki / @LoveIdahoBurger aki_iinuma
127
53k
Let's Do A Bunch of Simple Stuff to Make Websites Faster
Avatar for Chris Coyier chriscoyier
507
140k

Transcript

  1. Androidのセキュリティ良くなってきた話 @nein37(エヌ・イー・アイ・エヌ・サン・ナナ)

  2. 自己紹介 @nein37(エヌ・イー・アイ・エヌ・サン・ナナ) • クックパッド Androidアプリエンジニア • カニが好き

  3. Androidアプリ セキュリティモデルの歴史 • 6.0 ◦ Runtime Permission ◦ UIオーバーレイにユーザーの許可が必要 •

    7.0 ◦ 一部の画面でUIオーバーレイを禁止 • 8.0 ◦ UIオーバーレイの仕様を大幅変更

  4. 戦いの歴史 • 5.x ◦     : インストール時に権限許可が必要だよ ◦     :

    どうせ誰も権限見てないしやりたい放題 • 6.0 ◦     : 権限は個別にユーザー許可が必要! ◦     : 権限許可画面の上に別の文言を表示して許可させるぞ! • 7.0 ◦     : 権限取得ダイアログではオーバーレイ禁止! ◦     : ウッ

  5. 戦いの歴史 ユーザー補助サービスを使うしかねえ

  6. ユーザー補助サービスとは • 表示中の画面の情報を取得できる ◦ 最前面のアプリ/Activity取得 ◦ 画面の更新タイミング検知 ◦ 画面内に描画されているView情報(idつき) •

    表示中の画面に対してアクションできる ◦ クリック ◦ チェック変更 ◦ 文字入力 • ユーザーの許可が必要(初回のみ)

  7. つまりどういうこと? 本来ユーザー操作が必要な処理を アプリが勝手に行うことができます

  8. デモ

  9. • 大人気アプリのサポートツール ◦ と謳っているだけの悪いアプリ • 他のアプリにオーバーレイで結果を 表示する ◦ と謳っているがユーザー補助サービスを許可 してもらいやすくするだけの説明

  10. https://youtu.be/UHE31IQUHHc

  11. いま何が起きたの?

  12. https://youtu.be/b9qb5PqJotc

  13. やったこと 1. ユーザー補助権限を許可してもらう ---ここまでユーザー操作--- 2. UIオーバーレイの許可画面に遷移し、許可させる 3. UIオーバーレイで画面の表示内容を隠す 4. アプリの権限設定画面に遷移し、すべて許可させる

    5. アプリに戻ってくる 6. UIオーバーレイを非表示にする

  14. ちょっとだけソースコード 地道にViewを探してアクションを繰り返していく

  15. まとめ • Android のセキュリティは良くなってきたけどまだ十分では ない • ユーザー補助サービスは非常に危険なので軽い気持ちで 許可しないようにしましょう