Network Security Configurationについて - Android N

A+ a-

3月10日にAndroid NのPreview版がリリースされました。ようやくAndroid Mのセキュリティ回りの調査が一段落したと思っていたのに(全然調査内容ブログで書けてませんが…)もた調査の始まりです

Android Mの時は、Runtime-Permissionという大きな機能が追加されました。現在ざっと見た感じ、NはMのような大きな変更はありませんが、それでも調査が必要な項目がいっぱいありました。皆さんマルチウインドウを色々試して盛り上がっているのを横目に、地味なセキュリティ回りの調査です。

今回のセキュリティ回りで目を引いたのが、「Network Secure Config」という機能です。

公開されているアンドロイドアプリは脆弱性がいっぱいですが、特にHTTPS通信の証明書の検査不備はひどいもので、IPAから注意喚起が出るほどです。


この脆弱性の対応策がNetwork Secure Config機能に入っています。

宣伝になりますが、ちなみに、この脆弱性はRiskFinderでも検知ができ以下のようなメッセージが表示されます。