Hatena::ブログ(Diary)

enterprise java programmer

2012-02-19

[][]android security 安全なアプリケーションを作成するために 01:50

最近は仕事柄Android開発をメインにやっているので、この土日で読みました。

感想を一言で言うと、稀にみる良書!

Webのセキュリティ本のバイブルが徳丸本であれば、Androidセキュリティ本のバイブルはこの本と言ってもいいですね。Android開発者はマジで必読ですよ。

まあ内容は各自読むようになんですが、重要なトピックを挙げると以下のような感じですね。

  • 適切なパーミッションを設定すべし。ユーザーに注意喚起を促す仕組みを用意すべし。
  • リソースファイルにセキュアな情報を含むなかれ
  • セキュアなデータを外部記憶装置(SDCard)で管理することなかれ
  • ローカルストレージのデータファイルが他のアプリから読み書きできないか確認せよ。
  • 難読化(Proguard)をすべし。
  • Intent送受信時の傍受に気をつけろ!(パラメータは覗けるのでセキュア情報の受け渡しはご法度)
  • スパイウェアの疑いをかけられないようなパーミッション設定を心がけよ
  • Activity, BroadcastReceiver, Serviceの公開範囲に気をつけろ
  • ソースコード内にパスワードやトークンを定義するな。端末情報+α+複雑なロジックによる暗号化を心得よ。

などなど。巻末にはセキュリティチェックリストもあってなかなか親切なので利用すると良いでしょう。

ただ、作っているアプリの要件も色々あるので、プロジェクト内で独自のチェックシートを作ってみるのもいいでしょうね!

非常に勉強になりました。はい。