2012/01/15

書評:Android Security 安全なアプリケーションを作成する為に

ご挨拶が遅れましたが、2012年もどうぞ当ブログをよろしくお願いいたします。

年末くらいからネイティブのJavaでAndroidアプリの開発を始めたのですが、その際に「Android Security 安全なアプリケーションを作成する為に」という書籍が非常に参考になりそうだったので、ご紹介したいと思います。


昨今、スマホアプリのセキュリティー関連がニュースを賑わすなどしておりますが、アプリ開発者の立場としては、そのようなセキュリティ事故を起こさないようにとか、ユーザーに無用な誤解を与えるようなことはなどは、なるべく避けたいわけです。

で、この本にはAndroidアプリを開発する上で、注意すべきポイントが(これで全部では無いのでしょうが)非常によくまとまっていますので、個人的にはAndroidでアプリ開発を行なう全ての方に読んでいただきたい内容だと思いました。

特にAndroid OSは当初からアプリ連携の為の仕組みがよく考えられていて、OSから提供される機能も様々ですが、知識として知っておかないとそこの部分に脆弱性を盛りこんでしまう危険性がかなり高いことが、この書籍を読むとよくわかります。

また付録にセキュリティ対策のチェックリストが付属していますので、アプリをリリースする前にはこれで必ずチェックするなどの工程を入れておけば、うっかりミスを防ぐなどの効果がありそうです。

逆に個人的に少し残念だったのは、アプリケーションにマルウェアなどを仕込まれるなどの改竄をされた場合の検出や対策に関する内容が無かったことでしょうか?

人気の有料アプリが改竄されてGoogle以外のマーケットで無償版として配布されるなどの事例が実際に発生してますので(まぁそこまで責任取れんわという気持ちもありますが)、知識としてどういう防衛策を取り得るのか?というのは知っておきたいような気もします。

最後にこの本を全部読んだ後の感想としましては、現在のAndroidのpermissionの仕組みは細分化され過ぎてて、非常にわかりにくいのと、開発者の自助努力に頼るのだけでは限界があるような気がします。

なので、例えば設定されたpermissionのレベルに応じては、マーケット側できちんと事前審査を行うとか、あるいは端末情報を取得するようなpermissionを設定するアプリを作れるのはGoogleで認可された特定のデベロッパーだけにするとか、もう少し仕組みとして堅牢なものにして行くことを考える必要もあるのではないかと思いました。

ただ、開発者側で最低限出来ることはしっかりやっておくべきですので、この本を参考にご活用させていただきます!

[update]
アプリの改竄に関して、著者の@tao_gakuさんからblog上でご回答いただけました。感謝感激!

http://www.taosoftware.co.jp/blog/2012/01/android_security_2.html

0 件のコメント:

コメントを投稿