Taosoftware Developer Blog

ここの所、アンドロイドのセキュリティの話をすることが多いです。 ６月２９日(月)に石川県工業試験場にて、「アンドロイドアプリのセキュリティとウェアブルデバイス」という講演が行われます。ウェアブルデバイスの方は塚本教授で、セキュリティの方を私の方で担当させてもらうことになりました。ご一緒させてもらい光栄です。 DoroidKaigi ワイヤレスジャパン 石川県ソフトウェア技術研究会 と続いておりますが、５５分、１５分、１時間半と時間がまちまち… だいたい使いまわしをするのですが、これだけ時間が違うと色々と構成を変えたりと大変です。ようやく石川県ソフトウェア技術研究会用のパワポを作成し終えたのですが、調子に乗ってたら９０枚になってしまいました。 さて、石川県ですが、タオバイザー関連で、 ホクリクエンタメフェス に出展をしたり、高専でハンズオンをしたり色々と縁があります。会場は石川県工業試験場なのですが、実は２年ぐらい前に一度セキュリティの講演をさせて頂いたりしています。 また、よんで頂きとてもうれしいです。 前回、金沢入りをした時は、北陸新幹線開通ぎりぎり前でした。 新幹線の写真いっぱい取ってきます！！ 現在比較的動きやすい状況ですので、セキュリティネタに興味のある方は呼んで頂けたらと思っております。     Share on Tumblr Tweet

今回のパミッション周りの一つの大きな特徴として、今まで何も役に立っていなかったパミッショングループが、大抜擢され、重要な役割を得るようになった事があげられます。 Android M Developer Previewのパミッション周りの変更解説として、今回はパミッショングループについて解説したいと思います。 ブログの過去の記事「 Android OS 4.2のPermission Groupの変更点 」を見てみると、この時パミッショングループの大幅改編がされ、１２個だったパミッショングループが２４個になり大幅変更、しかしながら以下のような記載が… 「これで、何かの具体的な意味はなくなり、パミッショングループは只の情報でしかなくなりました。」 元々殆ど意味がなかったんですが、整理してさらに意味がなくなったので時期変更に向けての準備か？なんてうがった予想も立てたのですが、そのまま放置されつづけ、今回仕様変更となりました。 大抜擢されたのですが、なんと、大量にパミッショングループが削除されてしまいました。 抹殺されたパミッショングループ達 android.permission-group.ACCESSIBILITY_FEATURES android.permission-group.AFFECTS_BATTERY android.permission-group.APP_INFO android.permission-group.AUDIO_SETTINGS android.permission-group.BLUETOOTH_NETWORK android.permission-group.COST_MONEY android.permission-group.DEVELOPMENT_TOOLS android.permission-group.DEVICE_ALARMS android.permission-group.DISPLAY android.permission-group.HARDWARE_CONTROLS android.permission-group.MESSAGES android.permission-group.NETWORK android.permission-group.PERSONAL_INFO android.permission-g

セキュアスカイ・テクノロジーさんと共催しているAndroidアプリセキュア開発セミナーのお知らせです。 第6回Androidアプリセキュア開発セミナーを以下の日程で開催します。 概要 日時：2015年6月26日（金）10:00-17:00　(9:30受付開始) 会場：セキュスカイ・テクノロジー社セミナールーム 対象：Androidアプリケーションの企画、設計、開発のリーダー、およびマネージャ 詳細はこちら 早いもので6回目。半年に一度の開催なので丸3年にわたって継続していることになります（思わず遠い目．．．）。 このセミナでは、Androidアプリを開発する上で開発者が犯しがちな誤りや、Androidが提供するセキュリティの仕組みや限界について説明しつつ、セキュアなAndroidアプリを開発するためのポイントについてお話します。 座学なのであまりソースコードレベルの話はせず、考え方やチェックポイントなどについて大まかに理解してもらえれば良いなぁ、と思っています。 今回の講習では定番の内容に加えて、次のAndroid Mで導入される予定の新しいパーミッションモデルについても少しお話ししようと思っています。 日程が合わなくて今まで参加できなかった方、まだ余裕がありますので、お早めにお申し込み頂ければと思います。 お申し込み、お問い合わせは、セキュアスカイ・テクノロジーさん経由となります。 問い合わせ TEL：03-3525-8045 E-mail：info@securesky-tech.com お申し込み こちらからどうぞ Share on Tumblr Tweet

先日のDoroidKaigiで、アンドロイドのアプリケーションのセキュリティの話と共に、アプリケーションプライバシーポリシーのお話も少しさせて頂きました。このあたり個人情報保護法と強く色々とかかわりあうのですが、「個人情報」という言葉を使うと、人によって解釈が異なり、議論になってしまうので、使用しないようにしてきました。 どのようになるにせよ、衆議院通過して、個人情報保護法が変更になるという事で、色々とすっきりとするだろうなぁと思っていましたら。 2015/6/9  マイナンバー法と個人情報保護法、参院審議を当面見送り　年金情報流出問題で ということで、まだまだ時間がかかりそうです。個人的にはマイナンバーが会社としての事務作業が増えていやなのですが…. 法改正の前に復習として読んでおこうと思って、この本を読んでみました。 なかなか読みごたえがあって面白かったです。 只、流し読みが難しいので、時間がある時にじっくり読むのがお勧めです。   Share on Tumblr Tweet

2013年から販売しているAndroidアプリの脆弱性診断Webサービス「Tao RiskFinder」の脆弱性診断エンジンを株式会社システナさんの新サービス「RiskFinder」に提供しました。 システナさんの新サービスは2015年6月5日（本日）から公開されています。 RiskFinderサービスのサイト にはTao RiskFinderのロゴが載せられていて、「Tao RiskFinderを利用したサービス」であることが前面に押し出された形になっています。何だか申し訳ない感じです。 さて、今回のエンジン提供の経緯について少し書きたいと思います。 Tao RiskFinderは法人向けのWebサービスで、定期的に診断が行われることを前提とした年間契約のサービスです。 ここ数年Tao RiskFinderを様々な会社さんに提案してきた中で、以下のようなご意見をいただくことがありました。 維持しているアプリの本数が少ないので検査回数が少ない。バージョンアップ時にスポットで契約できないか 受託開発で使いたいが、案件を受注したときにスポットで契約できないか 今回のシステナさんのサービスは、クレジットカード決済を利用することで、必要なときにいつでも脆弱性診断を行えるようにしています。しかもサマリレポートだけで十分ということであれば、なんと無料（！！）で診断できます。 さらに、診断結果についての相談や、開発作業支援が必要な場合、システナさんにコンサルテーションを依頼することもできます（これは有料）。 タオソフトウェアでは提供できないことも、システナさんの規模でなら提供できます。RiskFinderサービスの利用者は、サービスを入り口にしてシステナさんの技術力も利用できます。極端な話、診断された問題の修正作業や、修正確認テストまで依頼することも可能です（もちろん有料です）。 今まで「年間契約だから．．．」とTao RiskFinderの利用を躊躇されていた皆さん、システナさんの RiskFinderサービス を使ってみてください。思わぬ脆弱性が発見されるかもしれませんよ？ タオソフトウェアは、Androidアプリの品質の向上のために努力していきたいと考えています。 Share on Tumblr Tweet

Google I/O 2015終わりました。今年は車関係で大きな発表をするのかなと思ってたんですが、それも特になく、新デバイスもないし、TVもGlassもWEARもARAもChromBookもNexusQも特に大きな発表はなく、しかもリリースされたSDKは、API Levelも付いていないDeveloper Previewだしで、今年は盛り上がるネタがなかったねーという感じがネットで蔓延しているわけですが、新しいパミッションモデル導入するよという、タオ的には、がっつり調べなきゃーネタがでてきました。 新しい仕様がくると、セキュリティに関する事項をしらべて、 Tao RiskFinder に機能を随時組み込むという作業を、この２，３年ずっと行っているのですが、今回のAndroid M Developer Previewに関していてば、調べても正式リリースでは仕様変更するかもしれないし、ここは絶対変わるよなー、えーこれマジ？なんてのが、出てきています。正直中途半端に出すのはやめて、ガツンと一度に来てもらいです。 ということで、新しいパミッションモデルについての説明ページ、 Android M Developer Preview Permission を、翻訳しましたので、興味のある方はご覧ください。なお、そのまま翻訳するとわけわからないので、かなり超訳した部分がありますので、ご了承ください。