Japan
このブログでは、Google から開発者のみなさま向けの情報をいち早くお届けします。
Android アプリで意図しないクリアテキスト トラフィックへの逆行を防ぐ
2016年5月23日月曜日
[この記事は Alex Klyubin、Android セキュリティ チームによる Android Developers Blog の記事 "
Protecting against unintentional regressions to cleartext traffic in your Android apps
" を元に翻訳・加筆したものです。詳しくは元記事をご覧ください。]
アプリが HTTP などのクリアテキスト ネットワーク トラフィックを使ってサーバーと通信すると、第三者による盗聴や改ざんのリスクが生じます。これは、ユーザーの情報の漏えい、アプリへの不正なコンテンツの注入や攻撃につながる可能性があります。そのため、
HTTP ではなく HTTPS
を使用するなど、アプリでセキュアなトラフィックのみを使用することが理想的です。セキュアなトラフィックは、盗聴や改ざんから保護されています。
既に Android アプリの多くがセキュアなトラフィックのみを使用しています。ただし、そのようなアプリでも、何らかの偶発的な理由でクリアテキスト トラフィックに逆戻りしてしまう場合があります。たとえば、意図せずに何らかのサーバー コンポーネントを変更してしまうと、サーバーが HTTPS の URL ではなく、HTTP の URL をアプリに提供するかもしれません。その場合、アプリはクリアテキストでの通信を行うようになりますが、ユーザーの目に見える弊害は発生しません。つまり、アプリのデベロッパーやユーザーはこの状態に気づかない場合があります。
アプリでセキュアなトラフィックのみを使用していると思っている場合でも、Android Marshmallow(Android 6.0)に新しく導入されたメカニズムを使用して、偶発的な逆行の検知や防止を行うようにしてください。
新たな保護メカニズム
セキュアなトラフィックのみを使用するアプリのクリアテキスト トラフィックへの逆行に対処するために、Android 6.0 Marshmallow(API レベル 23)には 2 つのメカニズムが導入されています。1 つ目は、実際のデバイスにインストールされた本番環境のアプリでクリアテキスト トラフィックをブロックするメカニズム。2 つ目は、開発中や QA 中のアプリで TLS/SSL 以外のトラフィックが発生した場合にログを出力したり、クラッシュさせるメカニズムです。次のセクションでは、この 2 つのメカニズムについて詳しく説明します。
本番環境のアプリのクリアテキスト トラフィックのブロック
実際のデバイスにインストールされたアプリをクリアテキスト トラフィックへの逆行から保護するには、アプリの AndroidManifest.xml の
application
要素で
android:usesCleartextTraffic
=”false”
属性を宣言します。これは、アプリにクリアテキスト ネットワークを使用する意図がないことを宣言するもので、これによって Android Marshmallow のプラットフォームのネットワーク スタックがアプリのクリアテキスト トラフィックをブロックするようになります。たとえば、アプリが何らかの偶発的な理由でクリアテキスト HTTP リクエストによるサインインを行おうとした場合、そのリクエストがブロックされるので、ユーザーの ID やパスワードがネットワークに漏れることはありません。
android:usesCleartextTraffic
は、アプリの
minSdkVersion
や
targetSdkVersion
を 23(Android Marshmallow)に設定しなくても使用できます。古いプラットフォームではこの属性は無視されるため、何の影響もありません。
なお、WebView にはこの機能はまだ適用されないことに注意してください。
それでも特定の状況では、クリアテキスト トラフィックがアプリを出入りする可能性があります。たとえば、Socket API は送受信するデータがクリアテキストに分類されるかどうかわからないため、クリアテキスト ポリシーは適用されません。一方、Android プラットフォームの HTTP スタックはトラフィックがクリアテキストかどうかわかるため、このポリシーが適用されます。
このポリシーは、Google AdMob にも適用されるようになっています。アプリでクリアテキスト トラフィックを使用しないと宣言した場合は、HTTPS の広告のみがアプリに配信されます。
サードパーティー製のネットワーク、広告、アナリティクス ライブラリは、このポリシーをサポートすることが推奨されます。
NetworkSecurityPolicy
クラスを使うと、クリアテキスト ポリシーを照会できます。
開発中のアプリのクリアテキスト トラフィックの検出
開発や QA の際にクリアテキスト トラフィックを検出するには、
StrictMode API
を使用して TLS / SSL 以外のトラフィックを検知するようアプリを変更し、それをシステムログに出力するか、アプリをクラッシュさせます(
StrictMode.VmPolicy.Builder.detectCleartextNetwork()
をご覧ください)。このツールは、アプリのどの部分が TLS / SSL(と DLTS)以外のトラフィックを使用しているかを判別する際に便利です。
android:usesCleartextTraffic
属性とは異なり、この機能はユーザーに配布するアプリで有効にすることは想定されていません。
そもそも、この機能は TLS / SSL ではないセキュアなトラフィックを識別するためのものです。さらに重要な留意点は、HTTP プロキシを経由する TLS / SSL トラフィックも識別されてしまう可能性があることです。デベロッパーはアプリのユーザーが Android 端末に HTTP プロキシを設定しているかどうかは制御できないため、この問題が発生します。さらに、この機能の実装は今後も利用できるとは限りません。将来新しい TLS / SSL プロトコルのバージョンができた際に、それを拒否してしまう可能性があります。この機能が開発や QA のフェーズ専用であるのは、以上の理由からです。
ネットワーク セキュリティ構成によるさらに細かいクリアテキスト ポリシーの宣言
Android N
では、クリアテキスト トラフィック ポリシーをさらに細かく制御することができます。
android:usesCleartextTraffic
属性は、アプリのすべての通信先に適用されます。それとは対称的に、Android N の
ネットワーク セキュリティ構成
を使用すると、特定の通信先に対するクリアテキスト ポリシーを設定できます。たとえば、クリアテキスト トラフィックを許可しないポリシーに徐々に移行するために、まず重要度の高いバックエンド通信先のみで偶発的なクリアテキストをブロックし、その他の通信先ではクリアテキストを許可することができます。
次のステップ
セキュリティを考慮すると、セキュアなネットワーク トラフィックのみを使用してアプリとサーバーの通信を行うことが推奨されます。Android Marshmallow では、この動作を強制することができますので、ぜひお試しください。
いつものように、フィードバックや Android を改善するための提案を歓迎しています。HTTPS、Android セキュリティ <
security@android.com
> までご連絡ください。
Posted by
Eiji Kitamura - Developer Relations Team
コメントを投稿
ラベル
#hack4jp
3
Addy Osmani
1
ADK
2
AdMob
1
ALPN
1
AMP
2
Analytics
4
Andorid
6
Android
142
Android Auto
1
Android Design Support Library
1
Android Developer Story
2
Android N
1
Android Studio
11
Android Support Library
3
Android TV
7
Android Wear
20
androidmarket
3
AngularJS
2
API
20
APIExpert
45
app engine
21
App Indexing
5
App Invites
5
AppCompat
2
Apps Script
6
aprilfool
3
ArtTech
1
Audio
2
Auth Code
1
Authentication
2
AuthSub
2
Autotrack
1
Beacons
5
BigQuery
6
BLE
4
Blink
1
blogger
1
Brillo
1
Brotli
1
Calendar
1
Cardboard
3
Career
1
Case Study
1
chrome
50
Chrome Custom Tab
1
chrome extension
2
Chrome for Android
1
Chrome for iOS
1
Chromecast
6
chromewebstore
6
Chromium
4
ClientLogin
3
Cloud
8
Cloud Test Lab
1
CocoaPods
1
codejam
5
codelab
2
compute engine
3
Dart
2
DataCenter
1
Deep Learning
1
Demo Party
1
Design Sprint
3
DesignBytes
1
DevArt
3
DevBytes
6
Developer
14
Developer Console
3
Developer Preview
2
Developer Relations
2
DevFest
6
DevFestX
3
devtools
3
DirectShare
1
Doodle
1
DoubleClick
4
Doze モード
1
drive
2
EarlGrey
1
Easter Egg
1
ECMAScript 2015
1
Eddystone
2
egypt
1
English
2
ES6
1
Firebase
4
font
2
game
14
GDD11JP
56
GDD2010JP
23
GDE
2
GDG
9
Geo
20
Gingerbread
1
GLIDE
5
Gmail
1
Go
1
golang
4
goo.gl
1
Google
5
Google Apps
1
Google Cast
6
Google Cloud Messaging
8
Google Cloud Platform
5
Google Developer Experts
2
Google Developers Academy
1
Google Developers live
5
Google Developers Summit
1
Google Drive
2
Google Fit
2
Google for Work
1
Google Maps
25
Google Play
25
Google Play Game Services
6
Google Play Services
18
Google Plus
14
Google Search
3
Google Sign-In
8
Google+
1
Googleapps
10
GoogleGames
1
GoogleI/O
23
GoogleLabs
1
GoogleTV
1
gRPC
2
GTUG
5
GWT
2
hack4jp
2
hackathon
5
HTML5
17
HTML5Rocks
1
HTTP/2
3
HTTPS
2
ID Token
1
Identity
9
Identity Toolkit
1
Ignite
4
IME
10
intern
2
iOS
6
IoT
1
IPv6
1
JavaScript
3
K-12
1
Knowledge Graph
1
l10n
8
Lollipop
10
Machine Learning
1
Marshmallow
10
Material
1
Material Design
17
MDL
1
MIDI
1
Mobile
6
Mobile Bootcamp
4
Mobile Vision
3
mod_pagespeed
1
monetize
3
Mozc
14
Music
1
NativeDriver
2
Nearby
3
Nexus
1
Nexus S
1
NFC
1
NPAPI
2
NPN
1
oauth
6
OpenGL
3
OpenID
3
OpenID Connect
2
OpenSocial
1
opensource
11
Payment
1
People API
1
Performance
5
PersonFinder
1
Physical Web
2
Place Picker
1
Player Analytics
4
Policy
2
Polymer
6
Progressive Web Apps
2
project hosting
1
Promise
1
Promo code
1
Protocol Buffers
1
publicdata
1
Push API
1
Push Notification
1
QUIC
1
RAIL
1
Remote Display API
1
Runtime Permission
1
Sample Code
2
schema.org
1
security
8
Service Worker
3
sketchup
1
SmartLock for Passwords
4
social
4
SPDY
3
speak2tweet
1
startup
3
streetview
3
Study Jams
3
techtalk
12
TensorFlow
1
test
2
ToS
1
Transliteration
1
Twitter
1
Udacity
14
Unity
2
UX
1
V8
2
VP9
1
Vulkan
2
Watch Face
2
wave
2
Weave
1
Web
2
Web Animations
1
Web Components
4
Web Manifest
1
WebAssembly
1
WebMusic
3
WTM
2
YouTube
14
YouTube API
1
インタビュー
1
コードサンプル
1
プライバシー
1
言論の自由
1
節電
3
東日本大震災
9
日本語入力
40
ブログ アーカイブ
2016
5
4
3
2
1
2015
12
11
10
9
8
7
6
5
4
3
2
2014
12
11
10
9
8
7
6
5
4
3
2
1
2013
12
11
10
9
8
7
6
5
4
3
2
1
2012
12
11
10
9
8
7
6
5
4
3
2
1
2011
12
11
10
9
8
7
6
5
4
3
2
1
2010
12
11
Feed
Follow @googledevjp
"プロダクトに関するご意見は
プロダクトフォーラム
にお願いします"
