2014年7月13日日曜日

GeekBear

2011年6月30日から毎週木曜日に開催してきたGeekBearというイベントの中の人を引退しました。

2014年3月23日日曜日

Threes! 俺々攻略

Threes!の俺々攻略法というか、自分はこんな風にプレイしてますっていう誰得のお話。
ルールはこちら

Threes!がおもしろい

@R246さんが紹介してくれた「Trees!」というゲームがおもしろいのでルールと俺々攻略法をご紹介。
iPhone/iPad版Android版があります。

2014年2月26日水曜日

あとでよむ

あとでよむ」というAndroid向けアプリとWebサービスを提供しています。

GAEのバージョンアップを追いかけきれなくて、
と言われたまま長らく放置していたけれど、今日になって「最近同期ができない」というユーザさんからのクレームを3件もいただいたので、ちょっと調べてみました。
google.appengine.runtime.DeadlineExceededError が出ているのはMaster/Slaveだからか…。ちょっと仕事が落ち着いた?ので今のうちにえいやっとHRDにmigrateしようと思います。(2日に1回寝る生活から毎日寝る生活に戻ってきた)

2013年12月31日火曜日

2013年を振り返る

2013年も!みなさんに!お世話になりましたm(_ _)m

今年一番の大事件は生年月日を晒したことですねー。
ちなみに去年一番の大事件は本名をネットに晒したことでした←

つらつらと自分メモとして一年を振り返っておきます。
特におもしろいことは書いてないです(ヾノ・ω・`)ナイナイ

2013年12月18日水曜日

Androidの脆弱性(まとめ版)

JVN#53768697 Android OS において任意の Java のメソッドが実行される脆弱性 について見つけたいきさつを記事にしました。
こちらは長いので、ざっくりバッサリ、なるべく簡潔に、何ができちゃうのか・何がヤバいのかをまとめます。

【原因】
WebViewの addJavascriptInterface()の危険性(参考)が、Android 3.x/4.0/4.1 ではWebViewそのものに存在する。
このためWebViewをそのまま使っているアプリや、WebViewのラッパにすぎない標準ブラウザに同様の脆弱性がある。(Android版ChromeはWebViewを使っていないので問題ないです)

【何ができてしまうか】
JVNに書かれている通り
Android 標準ブラウザや WebView クラスを利用しているアプリで、細工されたウェブページを閲覧した際に、ユーザの意図に反して Android OS の機能を起動されたり、任意のコードを実行されたりする可能性があります。
なのですが、標準ブラウザでできてしまうことの一例を具体的に挙げてみます。
  • Intentを飛ばして他アプリを起動できる
  • Androidの端末情報を読み込まれてしまう(Android.os.BuildやWi-Fi情報など)
  • アクセスしただけでこっそりファイルをダウンロードされる
  • 外部ライブラリを実行できる(任意のネイティブコードを実行できる)
    • こっそりダウンロードと組み合わせたら…((((;゚Д゚))))
  • 標準ブラウザが保持しているCookieやユーザ名・パスワードを読み込まれてしまう
    • それをAjax等でサーバに送ることもできるので…((((;゚Д゚))))
これはいずれも1年以上前に実際に検証したもの。これ以外にもたくさんのイタズラができてしまうと思います。

【あかんコード】
Androidのソースを追っていて「!!!」となったのはこの一行
お察しください。

【対策】
  • 最新版OSを使ってください。各メーカーが提供している最新OSを使ってください。
  • 標準ブラウザを使わないでください。Android版Chromeなら大丈夫です。WebViewも使われていないはずです。※他のブラウザソフトは表示エンジンにWebViewを使っている可能性があるので安全とは言いきれません。

個人的にはWebView全般に影響があることよりも標準ブラウザに穴があるということの方がインパクトが大きい気がしています。危険なアプリを入れなくても、普通にブラウザを使っているだけで悪意あるコードが実行されたりブラウザが持っている情報(Cookieなど)が抜かれてしまうので。。

Androidの脆弱性を見つけちゃった話

JVN#53768697 Android OS において任意の Java のメソッドが実行される脆弱性 が公表されました。
不肖私が昨年9月にIPAに届け出たものです。
これまでは情報非開示依頼があったので多くを語ることができませんでした。
ヤバい内容なのでみんなに注意喚起したかったけれどそれができない苦しさ。
周りでICS端末を使ってる人を見かけたら「事情は言えないけどブラウザにはChromeを使って。標準ブラウザ使わないで」と言うくらいしかできなくて申し訳ありませんでしたm(_ _)m

当時のいきさつを日記から掘り起こして記録に残しておきたいと思います。