クロスフ?ラットフォ`ム蝕kを辛嬬にする珂看稼温界温とそのセキュリティ貨
1 like2,914 views
セミナ`仝書すぐg樹.魯ぅ屮螢奪疋▲廛蠖kとセキュアプログラミング々での讐處彿創
クロスフ?ラットフォ`ム蝕kを辛嬬にする珂看稼温界温とそのセキュリティ貨
- 1. 1 クロスプラットフォ`ム_kを辛嬬にする Monacaとそのセキュリティ貨 アシアル幄塀氏芙 旗燕函叨 弥嶄屎圍 masahiro@asial.co.jp 2017定10埖17晩 Hybrid App meets Security!
- 2. 2 アシアル幄塀氏芙 氏芙古勣 ? I2002定 ? Y云署1000嵐 ? 並I侭|奨┗症脾、サンフランシスコ ? IT方瑳s40兆8忽汐 並I坪否 ? _kプラットフォ`ム並I咲_kツ`ル、UIフレ`ムワ`ク ? _k屶址並I坤▲廛裼_k、サ`バ`サイドPHP_k ? 縮圄並I坤肇讒`ニング、鵡P
- 3. 3 MonacaのB初
- 4. 4 HTML5モバイルアプリ_k児P Monaca HTML5、JavaScript でアプリ_k セットアップ音勣の クラウド_kh廠 UIフレ`ムワ`ク Onsen UI喜d 芦伉の晩云Zサポ`ト
- 5. 5 互いUI/UXを燕FするUIコンポ`ネント蛤 ? ?なモバイルUIの何瞳をiOSと Android鬚韻北畊 ? 極挑のOSにあわせて徭啜弔縫妊競 ンをm喘 ? 揖じソ`スコ`ドでクロスプラット フォ`ムUIをgF ? Angular、React、Vue、jQueryなど 光Nフレ`ムワ`クに
- 6. 6 Monacaは ^プラットフォ`ム^ Monacaクラウド Webベ`スのIDE デバッガ` 挫きなIDE/エディタ プロジェクト砿尖 コ`ド砿尖 リモ`トビルド mBaaS
- 9. 9 ハイブリッドアプリHTML5ネイティブ ネイティブコ`ド HTML コンテンツ アプリ云悶はHTML5でg廾 ネイティブアプリ侘塀で塘下 ハ`ドウェアC嬬を旋喘辛嬬 プラグインでネイティブC嬬を
- 10. 10 Cross Platformツ`ルのシェア 61% 35% 31% 18% 15% 13% 12% 9% 4% 3% 0% 10% 20% 30% 40% 50% 60% 70% PhoneGap/Cordova Xamarin Unity Qt Adobe Air Appcelerator Corona Marmelade Codename One Live Code Using this tool Prioritize this tool Vision Mobile Analysis of Cross-Platform Development, July 2015
- 11. 11 I順覆離侫讒`ムワ`ク
- 15. 15 '2016 OWASP Mobile Top 10 Improper Platform Usage OSC嬬やセキュリティの碧Mみの`喘。Androidインテントやパ`ミッションのg`い、Keychainの`喘など。 Insecure Data Storage 芦畠でないデ`タI囃の聞喘や吭蹐靴覆ぅ禰`タ息など。 Insecure Communication ハンドシェイクのg`いや硬いSSLバ`ジョンの聞喘、圧催晒されていない宥佚など。 Insecure Authentication J^I尖の音笋筌札奪轡腑鷙楡蹐}など。 Insufficient Cryptography 隠oされるべきデ`タにして、音頼畠な圧催を聞喘。 Insecure Authorization J辛I尖の音筺クライアントサイドでのJ辛I尖や、崙ブラウジングなど。 Client Code Quality コ`ドレベルのg廾}。バッファオ`バ`フロ`や猟忖双I尖のg`いなど。 Code Tampering バイナリファイルの個ざんやリソ`スファイルの筝、啜弔淵瓮皀蠅慮弔兇鵑覆鼻 Reverse Engineering バイナリファイルからのソ`スコ`ド痌、聞喘ライブラリやアルゴリズムの渇竃など。 Extraneous Functionality Lしバックドアの贋壓や、リリ`スアプリに根まれてはいけないコメントの詞秘など。
- 16. 16 ハイブリッドアプリのセキュリティ卍 ? ネットワ`ク宥佚 CWebViewから┘擧`ジのiみz み、XHRでのAjax CネイティブからAndroid/iOS ? WebView Cブラウザエンジンの巌樋來 ? Cordova云悶 CCordovaの巌樋來 ? プラグイン Cプラグインの巌樋來 ? リバ`スエンジニアリング Cロジックの息やコ`ドの個ざん ? ソ`スコ`ド Cソ`スコ`ドの巌樋來 Cordova アプリケ`ションパッケ`ジ ネイティブ冱Z によるg廾 JavaScriptによるg廾 WebView ブラウザエン ジンの巌樋來 ネットワ`ク 宥佚 リバ`スエン ジニアリング プラグイン g廾 プラグイン
- 17. 17 Same-Origin Policy Same-Origin Policy Cordovaが糞弔吠荒辰垢iOSのUIWebViewやAndroidの WebViewはfile://プロトコルがOriginとなっておりSame-Origin Policyはm喘されない。よって、Content-Security Policyの峺協が 駅勣となる。 ただし、iOS 9 + Cordova iOS 4.0から旋喘できる 仝WKWebView々を喘いる栽、WebViewの音醤栽からSame- Origin Policyがm喘されるため、サ`バ`箸CORSヘッダ`を 原嚥する駅勣がある。 ネットワ`ク宥佚にするセキュリティモデル
- 18. 18 Access OriginとAllow Navigation Access Origin O協ファイル(config.xmlにて峰する。兜豚バ`ジョンより贋壓。 デフォルトは * ┐垢戮瀞S辛なので廣吭が駅勣。<video>タグやWebSocket吉は崙泙気譴覆い め、Content Security Policyの旋喘が容Xされる。 Allow Navigation Cordova iOS/Android 4.0參貧に秘されたセキュリティモデル。Androidはcordova-plugin-whitelistの 秘が駅勣┘妊侫ルトでMみzみg。WebViewでw卞辛嬬なペ`ジを崙泙垢襦 デフォルトはfile://から_兵される╋膨坪に贋壓するURLにナビゲ`ションをS辛する。 <access origin="http://example.com" /> <access origin="*" /> <allow-navigation href="http://example.com/*" /> ネットワ`ク宥佚にするセキュリティモデル
- 19. 19 Content Security Policy Content Security Policy HTML坪に<meta>タグを喘いて峰する。KitKatAndroid 4.4參週、およびiOS 7參週で 鬄 <meta http-equiv="Content-Security-Policy" content="default-src 'self' data: gap: https://ssl.gstatic.com; style-src 'self' 'unsafe- inline'; media-src *"> ネットワ`ク宥佚にするセキュリティモデル ? gap://プロトコルiOSのUIWebViewおよびhttps://ssl.gstatic.comAndroidで駅勣をS辛。 ? eval()v方やインラインスクリプトを鋤峭。 <meta http-equiv="Content-Security-Policy" content="default-src *; style-src 'self' 'unsafe-inline'; script-src 'self' 'unsafe-inline' 'unsafe-eval'"> ? CSSとJavaScriptは揖じオリジンのものをS辛。 ? eval()v方とインラインスクリプトもS辛。
- 20. 20 iOS Application Transport Security (ATS) iOS Application Transport Security (ATS) iOSの隔つセキュリティ児福繍栖議にO協が駅晒される嚠協。ATSが嗤燭栽HTTP宥佚はS辛されず、 TLS 1.2參貧が駅。 Cordovaでは<access>勣殆もしくは<allow-navigation>勣殆を峺協すると、ATSO協を峰するInfo.plistファイル が貧きされ、O協がm喘される。 iOS 10參週の峺協に鬉垢襪燭瓠∀帯のように<access>勣殆がされた。 ネットワ`ク宥佚にするセキュリティモデル <access origin='*' allows-arbitrary-loads-in-media='true' allows-arbitrary-loads-in-web-content='true' allows-local- networking='true' /> allows-arbitrary-loads-in-media ? trueの栽、AV Foundation FrameworkU喇でiみzむメディアにして俊A崙泙盾茅される。 allows-arbitrary-loads-in-web-content ? trueの栽、WebViewから佩われるリクエストにして俊A崙泙盾茅される。 allows-local-networking ? trueの栽、ロ`カルネットワ`クにあるリソ`スにして俊A崙泙盾茅される。
- 21. 21 WebViewの巌樋來
- 22. 22 WebViewの巌樋來 徭咼▲奪廛禰`トが佩われるiOSと曳べ、ベンダ`の鬉牧栖罎垢Androidではシステムコンポ`ネ ントであるWebViewがアップデ`トされない}がある。ただし、Android 5からは、WebViewがOS と俳りxされ、Google Play Storeを宥じて徭啜弔縫▲奪廛禰`トされるようになった。 WebViewの巌樋來 iOSおよびAndroid OSのバ`ジョンeシェア ┯芙Webサイトより iPhone/iPadでは曳^議スム`ズに弊旗住旗が MむがAndroidではs20%がバ`ジョン4參 和。 WebViewの徭 厚仟が佩われない
- 24. 24 Cordovaにvする巌樋來の鷂 CVE-2015-5208 Apache Cordova iOS before 4.0.0 allows remote attackers to execute arbitrary plugins via a link. CVE-2015-5207 Apache Cordova iOS before 4.0.0 might allow attackers to bypass a URL whitelist protection mechanism in an app and load arbitrary resources by leveraging unspecified methods. CVE-2015-5204 CRLF injection vulnerability in the Apache Cordova File Transfer Plugin (cordova-plugin-file-transfer) for Android before 1.3.0 allows remote attackers to inject arbitrary headers via CRLF sequences in the filename of an uploaded file. CVE-2015-8320 Apache Cordova-Android before 3.7.0 improperly generates random values for BridgeSecret data, which makes it easier for attackers to conduct bridge hijacking attacks by predicting a value. CVE-2015-5256 Apache Cordova-Android before 4.1.0, when an application relies on a remote server, improperly implements a JavaScript whitelist protection mechanism, which allows attackers to bypass intended access restrictions via a crafted URI. Cordova/プラグインの巌樋來
- 25. 25 Google Play Storeでの 巌樋來のあるCordovaが喘いられている栽、Google Play Storeにて巷_唯 峭が佩われる。 Google Play Storeでのh苧並 https://support.google.com/faqs/answer/6325474?hl=ja F壓はCordova Android 4.1.1參念で恬られ たパッケ`ジはアップロ`ド音辛。 Cordovaの巌樋來がk伏すると書瘁も が駅勣になる。メンテナンス悶崙を屁えて おく駅勣がある。 Cordova/プラグインの巌樋來
- 27. 27 音勣なプラグインの茅肇 Cordova鬚吋▲廛螢謄鵐廛讒`トの謹くが、Cordova Core Pluginsと柵ばれる児云プラグイン をすべて揖yしている。gHには聞喘していないコ`ドが根まれてしまい、巌樋來の梁寛に なる辛嬬來がある。 Cordova/プラグインの巌樋來 Mohamed Shehab et. al, Reducing Attack Surface on Cordova-Based Hybrid Mobile Apps, MobileDeLi 2014 PhoneGapのWebサイトにdされていた622 周のアプリにしての{烹2014定では、 プラグインのMみzみとgHの旋喘に寄きな _きがられている。
- 28. 28 セキュアコ`ディング
- 29. 29 コ`デイングの峺 Cordovaアプリの寄磯はSPA侏であり、モバイルWebサイトと曳べてもJavaScriptのウェイ トが互い。セキュアコ`ディング貨としてはHTML5鬚韻離廛薀ティスをm喘できる。 ? ユ`ザ`秘薦デ`タのバリデ`ション ? m俳なエスケ`プI尖 ? JavaScriptインジェクションの指閲 ? APIキ`のm俳な砿尖 セキュアコ`ディング
- 30. 30 エスケ`プI尖 コンテキストに鬉犬織┘好羽`プI尖が駅勣であるが、m俳な峰を佩うのは是y。 SPAフレ`ムワ`クやテンプレ`トエンジンの駻辰李ましい。 セキュアコ`ディング <div onmouseover="${data1}">${data2}</div> <a href="${data3}">link</a> <iframe srcdoc="${data4}"></iframe> 和の箭ではすべての篳にeのエスケ`プI尖が駅勣 バインディングをサポ`トするフレ`ムワ`ク やライブラリ 2-Way Bindingを隔つもの ? Angular 1 ? Angular 2 1-Way Bindingを隔つもの ? React テンプレ`トエンジン ? Handlebars ? Mustache エスケ`プI尖を徭念でg廾するのは是yであるた め、フレ`ムワ`クを駻辰垢襪海箸李ましい。