コピペ歓迎! JSSECがセキュアなAndroidアプリ開発ガイドラインの新版:WebViewやLogCat出力周りの対策を追加
日本スマートフォンセキュリティ協会(JSSEC)は4月23日、Androidアプリを開発する際にセキュリティを確保するための手法についてまとめたガイドラインの最新版、「Androidアプリのセキュア設計・セキュアコーディングガイド」2013年4月1日版を公開した。
日本スマートフォンセキュリティ協会(JSSEC)は4月23日、Androidアプリを開発する際にセキュリティを確保するための手法についてまとめたガイドラインの最新版、「Androidアプリのセキュア設計・セキュアコーディングガイド」2013年4月1日版を公開した。7月31日までの間、ガイドに対するパブリックコメントも受け付けるという。
Androidアプリのセキュア設計・セキュアコーディングガイドは、Androidアプリの開発者を対象とした文書だ。アプリケーション開発の現場での利用を想定し、多数のサンプルコードを交えながら、セキュリティ上留意すべきポイントについて解説。安全なAndroidアプリを設計、実装するための必要事項を紹介している。2012年6月の公開以降、20万回以上ダウンロードされているという。
新版では、2012年以降多数の事例が報告されている「WebView」および「HTTPS(SSL)」の使用に関する脆弱性を発生させないようにする方法を追加した。さらに、LogCatへのログ出力設定を適切に行い、情報が流出しないようセキュリティを確保する手法も追加している。
情報処理推進機構(IPA)によると、2011年後半からAndroidアプリの脆弱性に関する届出が急増している。だが、JSSEC セキュアコーディンググループ リーダーの松並勝氏によると、そのいくつかは、Androidアプリの特性を理解し、ガイドを踏まえてコーディングしていれば避けられたはずだという。
しかも多くのAndroidアプリで、インターネットで検索すると出てくる、脆弱性が含まれたままのコードが「コピペ」して再利用されている結果、脆弱性も再生産されているという。松並氏は、それらの代わりにぜひ「Androidアプリのセキュア設計・セキュアコーディングガイド」のサンプルコードをコピペしてほしいとしている。なお、一連のサンプルコードはApache License 2で公開されており、商用利用も可能だ。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
- スマートフォンで「できちゃうこと」って?
「もいちどイチから! HTTP基礎訓練中」でWebアプリケーションの脆弱性と対策について学んだクウが、今度はAndroidの世界に挑戦。Android特有の問題、PCや従来の携帯電話向けのWebアプリとの違いや対策について紹介します - 知ってるつもりで知らない端末のほんとの挙動
- デバッグ情報にご用心!
- 要注意! 本当は怖い出力データ
- 見せたくないなら「持たせない」が鉄則!
- セキュアなAndroidアプリ開発のTipを集めたガイド、JSSECが公開
- JSSEC、「スマートフォンネットワークセキュリティ実装ガイド」β版を公開