No. | 脆弱性の種類 | 対策内容 | 関連学習コンテンツ | 備考 |
---|---|---|---|---|
01 | ファイルアクセスの制限不備 | ファイルやPreferenceの作成時にはMODE_PRIVATEを使用する |
内部ストレージのアクセス制限不備 Preferenceファイルのアクセス制限不備 |
*1 |
02 | SDカードに重要な情報を保存しない | SDカードのファイルアクセス制限の理解不足 | ||
03 | コンポーネントのアクセス制限不備 | android:exported属性はできるかぎりfalseに設定する | 非公開コンポーネントのアクセス制限不備 | *2*3 *4 |
04 | 公開コンポーネントはPermissionで保護する |
公開コンポーネントのアクセス制限不備 ContentProviderのアクセス制限不備 |
*2 | |
05 | 暗黙的Intentの不適切な使用 | できる限り暗黙的Intentは使用しない |
BroadcastしたIntent情報の漏えい |
*5 |
06 | 不適切なログ出力 | 重要な情報をログに出力しない | 重要情報の想定外のログ出力 | *6 |
07 | WebViewの不適切な使用 | 任意のURLを受け入れるWebViewでは、addJavascriptInterfaceを使用しない | JavascriptInterfaceの理解不足 | *7 |
08 | SSL通信の実装不備 | 独自のTrustManagerやHostnameVerifierを使用しない | セキュリティ例外の無視 | |
09 | SSL通信時のエラーを無視せず適切に処理する | セキュリティ例外の無視 | ||
10 | 不必要な権限の取得 | 不必要なPermissionの使用を定義しない | マルウェアと誤解される可能性のあるPermissionの使用 |
端末のバージョン | MODE_WORLD_WRITEABLE |
---|---|
Android4.1 (APIレベル16)以前 |
使用可能
|
Android4.2 (APIレベル17)以降 | 使用可能だが 使用しないように求められている |
端末のバージョン | MODE_WORLD_READABLE |
---|---|
Android4.1 (APIレベル16)以前 |
使用可能
|
Android4.2 (APIレベル17)以降 | 使用可能だが 使用しないように求められている |
端末のバージョン | android:exportedの初期値 |
---|---|
Android4.1 (APIレベル16)以前 | true |
Android4.2 (APIレベル17)以降 | false |
端末のバージョン | android:exported属性の機能 |
---|---|
Android2.2 (APIレベル8)以前 | 機能しない |
Android2.3.1 (APIレベル9)以降 | 機能する |
端末のバージョン | 他アプリが出力したログの読み込み |
---|---|
Android4.1 (APIレベル16)以前 | 可能 |
Android4.2 (APIレベル17)以降 | 不可能 |