第2回名古屋情報セキュリティ勉強会

第1回、第2回と脅威の参加率・・・というかキャンセルがぜんぜんありませんでした。すごい
今回はスマートフォンセキュリティということでAndroidセキュリティの話がメインでした。
全体として共通していることをばくっと言うと

正しい情報を把握し、目的・効果をわかった上で適切に使う

というところでしょうか。
内容としてはかなりはしょっています。後日加筆するかもしれません・・・

Androidフォンのセキュリティ

スマートフォンではWindowsPCでおきているような自動感染はほとんどない
　−＞　ウィルスやワームではなくマルウェアのみが存在するという現状
つまりユーザの手動処理なしに感染することはない。現状ではパーミションによる告知とユーザの承認による自己責任。
　−＞　正しい理解があれば感染しないのではないか

パーミション

パーミションだけでは何の情報を何のために取得し使われるのか明確でない。よって何が起きるかわからない。また、現状のアプリ開発者もパーミションのみでユーザの同意が取れていると思い込んでいる。
　−＞　開発者が目的を明確にして改めてユーザに提示する事の必要性

情報収集モジュール

情報収集モジュール自体が悪というわけではないがそれを利用されるケースもある。モジュールでどのような情報が取得できるか説明が不十分なモジュールが多数ある。またユーザ(開発者)がそのモジュールで何が取得できるか理解できてない場合もある。

現状では利用情報のユーザ承諾文書に関する基準がない。
　−＞　JIAAの行動ターゲティング広告ガイドラインが良い
ユーザ承諾のとり方については日本だけで議論していても解決しない。

そもそもMarketプレイスが安全になれば多くの脅威は取り除ける。
　−＞　au one Marketがんばってます

アンチウィルス屋から見たAndroidのセキュリティ

ウィルスの傾向

シグネチャ数は増えており、確実に増加傾向にあることは間違いなし
　−＞　ただしマルウェア全体からみたら極小であることも事実

スマートフォン用のアンチウィルスソフト

Androidのアンチウィルスはサンドボックス上の一般ユーザ権限で動く
　−＞　Windowsのアンチウィルスとは動作も出来る事も違う

root権限が必要なシステム領域に関しては関与できない
　−＞　root奪取されてsystem領域にアプリをおかれた場合どうにもできない
　　　　また感染後にアンチウィルスソフトを入れてもシステム領域中のマルウェアは駆除できない

ただしroot奪取するアプリ自体が既知であれば防ぐこともできる場合がある
　−＞　必ずという訳ではない

結局のところどこまで守ってくれるかを把握した上で使いましょうということ。

とりあえずAndroidのセキュリティはまだまだこれから。Windowsのようになる前に打てる手も有るとの事なので今後の動向に期待でしょうか。

結構やりたい放題？Androidアプリの実際

USBデバッグ機能はいろんなものを見れる
　−＞　SDカードの中身とか

インストールしたアプリはコピー防止オプションをつけていない場合、USBデバッグ機能を使って簡単に見れる
　−＞　AndroidアプリはJavaベースなので環境さえそろっていれば簡単にデコンパイルしてソースコードを見れる

見られることを前提としたアプリ開発をしておいたほうが良いよ
　−＞　キー情報とかハードコーディングしてると危ないかも

iOSの審査なんてくそくらえさ！

タイトルはまっちゃさんにつけられたらしいですｗ
内容はアプリ審査が及ぼす効果についての話でした。

審査が生み出す良好なサイクル
　−＞　審査によりアプリの品質が一定以上に保たれる
　−＞　良質なアプリを求めて人が集まる
　−＞　ビジネスチャンスなどを求めて開発者が集まる

今回のお菓子

今回はプチフレーズさんのケーキが4種類ありました。
モンブラン、栗のケーキ、お芋のケーキ、プリンでした。写真は撮れなかったのですが誰かがUPしてくれてるでしょうｗ
自分はプリンでしたがおいしかったです。