Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Android のセキュリティよくなってきた話

Avatar for こやまカニ大好き こやまカニ大好き
July 26, 2017
Programming
3
2.4k

Android のセキュリティよくなってきた話

potatotips 42 で話した際の資料です

動画1:
https://youtu.be/UHE31IQUHHc

動画2:
https://youtu.be/b9qb5PqJotc
Avatar for こやまカニ大好き

こやまカニ大好き

July 26, 2017
Tweet

More Decks by こやまカニ大好き

See All by こやまカニ大好き
Androidアプリの One Experience リリース
Avatar for こやまカニ大好き nein37
0
5.2k
マルチモジュールアプリの画面遷移処理実装
Avatar for こやまカニ大好き nein37
0
6.5k
クックパッド Android アプリのマルチモジュール化とデモアプリの活用
Avatar for こやまカニ大好き nein37
1
6.8k
2020年代の WebView 実装 / saikou_no_webview_2021
Avatar for こやまカニ大好き nein37
2
11k
Androidアプリをいつまでも楽しく開発し続けるための取り組み
Avatar for こやまカニ大好き nein37
5
2.6k
minSdkVersion=21にしてから1年経った話
Avatar for こやまカニ大好き nein37
8
2.3k
Androidアプリエンジニアの基礎知識
Avatar for こやまカニ大好き nein37
16
11k
クックパッドアプリのマルチモジュール化への取り組み
Avatar for こやまカニ大好き nein37
11
11k
Androidアプリのデザイン整理への取り組み
Avatar for こやまカニ大好き nein37
1
1k

Other Decks in Programming

See All in Programming
Go1.25からのGOMAXPROCS
Avatar for kuro kuro_kurorrr
1
820
『自分のデータだけ見せたい!』を叶える──Laravel × Casbin で複雑権限をスッキリ解きほぐす 25 分
Avatar for AkitoTsukahara akitotsukahara
1
590
Flutterで備える!Accessibility Nutrition Labels完全ガイド
Avatar for 野瀬田 裕樹 yuukiw00w
0
100
Create a website using Spatial Web
Avatar for Akio Itaya akkeylab
0
310
GoのGenericsによるslice操作との付き合い方
Avatar for syumai syumai
3
690
20250613-SSKMvol.15
Avatar for diostray diostray
0
100
PipeCDのプラグイン化で目指すところ
Avatar for Warashi warashi
1
210
Composerが「依存解決」のためにどんな工夫をしているか #phpcon
Avatar for hideki kinjyo o0h
PRO
1
240
Kotlin エンジニアへ送る:Swift 案件に参加させられる日に備えて~似てるけど色々違う Swift の仕様 / from Kotlin to Swift
Avatar for Elvis Shi lovee
1
260
Goで作る、開発・CI環境
Avatar for Shinpei Mine sin392
0
170
Code as Context 〜 1にコードで 2にリンタ 34がなくて 5にルール? 〜
Avatar for Yoda Keisuke yodakeisuke
0
110
XP, Testing and ninja testing
Avatar for seki at druby.org m_seki
3
220

Featured

See All Featured
We Have a Design System, Now What?
Avatar for Morgane Peng morganepeng
53
7.7k
Embracing the Ebb and Flow
Avatar for Simon Collison colly
86
4.7k
How GitHub (no longer) Works
Avatar for Zach Holman holman
314
140k
Music & Morning Musume
Avatar for Bryan Veloso bryan
46
6.6k
I Don’t Have Time: Getting Over the Fear to Launch Your Podcast
Avatar for Joe Casabona jcasabona
32
2.3k
YesSQL, Process and Tooling at Scale
Avatar for Rocio Delgado rocio
173
14k
Agile that works and the tools we love
Avatar for Rasmus Luckow-Nielsen rasmusluckow
329
21k
Become a Pro
Avatar for Speaker Deck speakerdeck
PRO
28
5.4k
Done Done
Avatar for chrislema chrislema
184
16k
KATA
Avatar for Megan Lloyd mclloyd
30
14k
Helping Users Find Their Own Way: Creating Modern Search Experiences
Avatar for Dan Newman danielanewman
29
2.7k
Automating Front-end Workflow
Avatar for Addy Osmani addyosmani
1370
200k

Transcript

  1. Androidのセキュリティ良くなってきた話 @nein37(エヌ・イー・アイ・エヌ・サン・ナナ)

  2. 自己紹介 @nein37(エヌ・イー・アイ・エヌ・サン・ナナ) • クックパッド Androidアプリエンジニア • カニが好き

  3. Androidアプリ セキュリティモデルの歴史 • 6.0 ◦ Runtime Permission ◦ UIオーバーレイにユーザーの許可が必要 •

    7.0 ◦ 一部の画面でUIオーバーレイを禁止 • 8.0 ◦ UIオーバーレイの仕様を大幅変更

  4. 戦いの歴史 • 5.x ◦     : インストール時に権限許可が必要だよ ◦     :

    どうせ誰も権限見てないしやりたい放題 • 6.0 ◦     : 権限は個別にユーザー許可が必要! ◦     : 権限許可画面の上に別の文言を表示して許可させるぞ! • 7.0 ◦     : 権限取得ダイアログではオーバーレイ禁止! ◦     : ウッ

  5. 戦いの歴史 ユーザー補助サービスを使うしかねえ

  6. ユーザー補助サービスとは • 表示中の画面の情報を取得できる ◦ 最前面のアプリ/Activity取得 ◦ 画面の更新タイミング検知 ◦ 画面内に描画されているView情報(idつき) •

    表示中の画面に対してアクションできる ◦ クリック ◦ チェック変更 ◦ 文字入力 • ユーザーの許可が必要(初回のみ)

  7. つまりどういうこと? 本来ユーザー操作が必要な処理を アプリが勝手に行うことができます

  8. デモ

  9. • 大人気アプリのサポートツール ◦ と謳っているだけの悪いアプリ • 他のアプリにオーバーレイで結果を 表示する ◦ と謳っているがユーザー補助サービスを許可 してもらいやすくするだけの説明

  10. https://youtu.be/UHE31IQUHHc

  11. いま何が起きたの?

  12. https://youtu.be/b9qb5PqJotc

  13. やったこと 1. ユーザー補助権限を許可してもらう ---ここまでユーザー操作--- 2. UIオーバーレイの許可画面に遷移し、許可させる 3. UIオーバーレイで画面の表示内容を隠す 4. アプリの権限設定画面に遷移し、すべて許可させる

    5. アプリに戻ってくる 6. UIオーバーレイを非表示にする

  14. ちょっとだけソースコード 地道にViewを探してアクションを繰り返していく

  15. まとめ • Android のセキュリティは良くなってきたけどまだ十分では ない • ユーザー補助サービスは非常に危険なので軽い気持ちで 許可しないようにしましょう