アプリ名 | 03SNSモバイル |
アプリの概要 | 架空のWebサービス「SNSモバイル」にログインし、日記の作成、つぶやき(コメントの投稿)等を行うアプリを想定しています。 |
アプリを使用するメリット | 利用者はこのアプリを利用する事で、Android端末を使っていつでもどこでも「SNSモバイル」のサービスを利用することができます。 |
主な動作 | サンプルアプリは、「SNSモバイル」のクライアントアプリとして動作します。サンプルアプリを起動すると、認証画面を表示してID、パスワードの入力を要求します。入力された値を使って認証を行い、認証後に、サンプルアプリの各種機能が使えるようになります。 |
サンプルアプリの実装範囲 | サンプルアプリは、認証画面で入力したID、パスワードをPreferenceに保存する機能のみ実装しています。認証処理は実装されておらず、任意のID、パスワードを受け入れ、認証成功と判定します。
|
サンプルアプリ内の脆弱性 | このアプリの開発者は、Android OSのファイルアクセス制限について誤った理解をしていたため、Preferenceファイルを作成する際に、MODE_WORLD_READABLEを指定していた、という想定です。 |
サンプルアプリは、以下の環境で動作するように作成されています。
サンプルアプリをビルドするためにはAndroid2.2(API Level 8) のSDKがインストールされている必要があります。 実行環境の準備を行い、サンプルプロジェクトをビルド・実行してみましょう。 準備ができていない場合はこちらを参考に準備を行ってください。 |
---|
![]() |
![]() |
![]() |
![]() |
![]() |
![]() |
アプリ名 | 03SNSモバイルスパイ |
攻撃者の目的 | 「攻撃者は、サンプルアプリ「03SNSモバイル」アプリのPreferenceファイルに保存している情報(IDやパスワード)を盗み出し、正規の利用者になりすますことを目的としています。 |
攻撃方法 |
|
![]() |
![]() |
![]() |
![]() |
![]() |
![]() |
![]() |