Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Speaker Deck
PRO
Sign in
Sign up for free
Android のセキュリティよくなってきた話
こやまカニ大好き
July 26, 2017
Programming
3
2.1k
Android のセキュリティよくなってきた話
potatotips 42 で話した際の資料です
動画1:
https://youtu.be/UHE31IQUHHc
動画2:
https://youtu.be/b9qb5PqJotc
こやまカニ大好き
July 26, 2017
Tweet
Share
More Decks by こやまカニ大好き
See All by こやまカニ大好き
クックパッド Android アプリのマルチモジュール化とデモアプリの活用
nein37
1
5.6k
2020年代の WebView 実装 / saikou_no_webview_2021
nein37
2
9.9k
Androidアプリをいつまでも楽しく開発し続けるための取り組み
nein37
6
2.1k
minSdkVersion=21にしてから1年経った話
nein37
8
1.8k
Androidアプリエンジニアの基礎知識
nein37
16
10k
クックパッドアプリのマルチモジュール化への取り組み
nein37
11
9.5k
Androidアプリのデザイン整理への取り組み
nein37
1
810
Androidアプリのタブレット向けレイアウト
nein37
4
990
Other Decks in Programming
See All in Programming
SRE NEXT 2022に学ぶこれからのSREキャリア
fukubaka0825
2
390
読みやすいコード クラスメソッド 2022 年度新卒研修
januswel
0
2.9k
クラウド KMS の活用 / TOKYO BLOCKCHAIN TECH MEETUP 2022
odanado
PRO
0
190
設計の考え方とやり方
masuda220
PRO
50
27k
フロントエンドエンジニアが変える現場のモデリング意識/modeling-awareness-changed-by-front-end-engineers
uggds
32
13k
FutureCon 2022 FlutterアプリのPerformance測定
harukafujita
0
140
夕食断食にTRY!/for-lt-12th
pachikuriii
0
230
ストア評価「2.4」だったCOCOARアプリを1年で「4.4」になんとかした方法@Cloud CIRCUS Meetup #2
1901drama
0
180
アジャイルで不確実性に向き合うための開発タスクの切り方
tanden
4
1.1k
Cloudflare WorkersでGoのHTTPサーバーを動かすライブラリを作った話
syumai
0
150
Amazon Lookout for Visionで 筆跡鑑定してみた
cmnakamurashogo
0
160
How to start contributing to Kubernetes Projects
ydfu
0
140
Featured
See All Featured
Music & Morning Musume
bryan
35
4.3k
Building Your Own Lightsaber
phodgson
95
4.7k
Templates, Plugins, & Blocks: Oh My! Creating the theme that thinks of everything
marktimemedia
15
980
Building Better People: How to give real-time feedback that sticks.
wjessup
344
17k
Java REST API Framework Comparison - PWX 2021
mraible
PRO
11
4.8k
What's new in Ruby 2.0
geeforr
335
30k
Principles of Awesome APIs and How to Build Them.
keavy
113
15k
Git: the NoSQL Database
bkeepers
PRO
415
59k
Building an army of robots
kneath
298
40k
Making Projects Easy
brettharned
98
4.4k
Streamline your AJAX requests with AmplifyJS and jQuery
dougneiner
127
8.5k
Building Flexible Design Systems
yeseniaperezcruz
310
34k
Transcript
Androidのセキュリティ良くなってきた話 @nein37(エヌ・イー・アイ・エヌ・サン・ナナ)
自己紹介 @nein37(エヌ・イー・アイ・エヌ・サン・ナナ) • クックパッド Androidアプリエンジニア • カニが好き
Androidアプリ セキュリティモデルの歴史 • 6.0 ◦ Runtime Permission ◦ UIオーバーレイにユーザーの許可が必要 •
7.0 ◦ 一部の画面でUIオーバーレイを禁止 • 8.0 ◦ UIオーバーレイの仕様を大幅変更
戦いの歴史 • 5.x ◦ : インストール時に権限許可が必要だよ ◦ :
どうせ誰も権限見てないしやりたい放題 • 6.0 ◦ : 権限は個別にユーザー許可が必要! ◦ : 権限許可画面の上に別の文言を表示して許可させるぞ! • 7.0 ◦ : 権限取得ダイアログではオーバーレイ禁止! ◦ : ウッ
戦いの歴史 ユーザー補助サービスを使うしかねえ
ユーザー補助サービスとは • 表示中の画面の情報を取得できる ◦ 最前面のアプリ/Activity取得 ◦ 画面の更新タイミング検知 ◦ 画面内に描画されているView情報(idつき) •
表示中の画面に対してアクションできる ◦ クリック ◦ チェック変更 ◦ 文字入力 • ユーザーの許可が必要(初回のみ)
つまりどういうこと? 本来ユーザー操作が必要な処理を アプリが勝手に行うことができます
デモ
• 大人気アプリのサポートツール ◦ と謳っているだけの悪いアプリ • 他のアプリにオーバーレイで結果を 表示する ◦ と謳っているがユーザー補助サービスを許可 してもらいやすくするだけの説明
https://youtu.be/UHE31IQUHHc
いま何が起きたの?
https://youtu.be/b9qb5PqJotc
やったこと 1. ユーザー補助権限を許可してもらう ---ここまでユーザー操作--- 2. UIオーバーレイの許可画面に遷移し、許可させる 3. UIオーバーレイで画面の表示内容を隠す 4. アプリの権限設定画面に遷移し、すべて許可させる
5. アプリに戻ってくる 6. UIオーバーレイを非表示にする
ちょっとだけソースコード 地道にViewを探してアクションを繰り返していく
まとめ • Android のセキュリティは良くなってきたけどまだ十分では ない • ユーザー補助サービスは非常に危険なので軽い気持ちで 許可しないようにしましょう
nein37
fukubaka0825
januswel
odanado
masuda220
uggds
harukafujita
pachikuriii
1901drama
tanden
syumai
cmnakamurashogo
ydfu
bryan
phodgson
marktimemedia
wjessup
mraible
geeforr
keavy
bkeepers
kneath
brettharned
dougneiner
yeseniaperezcruz
