アプリのセキュリティ リスクを軽減する

アプリをセキュアにすることで、ユーザーの信頼とデバイスの整合性を保つことができます。

ここでは、Android アプリ デベロッパーが直面する一般的なセキュリティ上の問題について説明します。このコンテンツは次のように使用できます。

• アプリを積極的に安全にする方法を詳しく学習する。
• アプリで以下の問題が発見された場合の対応方法を理解する。

次の一覧に、それぞれの問題ごとにまとめられたページへのリンクを示します。OWASP MASVS コントロールに基づいたカテゴリ別に並べられています。各ページには、アプリへのリスクを軽減するための概要、影響の説明、ヒントが記載されています。

MASVS-STORAGE: ストレージ

OWASP カテゴリの説明

• バックアップのリーク
• ディレクトリの FileProvider への不適切な公開
• ログ情報漏洩
• パス トラバーサル
• zip パス トラバーサル

MASVS-CRYPTO: 暗号

OWASP カテゴリの説明

• ハードコードされた暗号シークレット
• 弱い PRNG

MASVS-NETWORK: ネットワーク通信

OWASP カテゴリの説明

• クリアテキスト / 平文の HTTP

MASVS-PLATFORM: プラットフォームのインタラクション

OWASP カテゴリの説明

• コンテンツ リゾルバ
• 暗黙的インテントの不正使用
• インテント リダイレクト
• ペンディング インテント
• スティッキー ブロードキャスト
• StrandHogg 攻撃 / タスク アフィニティの脆弱性
• タップジャッキング
• android:debuggable
• android:exported

MASVS-CODE: コード品質

OWASP カテゴリの説明

• ContentProvider によって指定されたファイル名を信頼することが不適切な場合
• 安全でない API またはライブラリ
• SQL インジェクション
• テスト / デバッグ機能
• 安全でない HostnameVerifier
• WebView - 安全でない URI の読み込み