Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Android Qまわりのセキュリティ&プライバシー-Security on Android What's Nextの話中心

1,127 views

Published on

日本Androidの会 定例会@5/15で行われた
Google I/O 2019 報告会で発表した資料です。
https://japan-android-group.connpass.com/event/130667/

Youtube:
https://youtu.be/BXaV7tkUbKM?t=2278

Published in: Engineering
  • Be the first to comment

  • Be the first to like this

Android Qまわりのセキュリティ&プライバシー-Security on Android What's Nextの話中心

  1. 1. Android Qまわりの セキュリティ&プライバシー - Security on Android: What's Nextの話中心 @日本Androidの会 定例会 2019/5/15 木村 隼人(@prprhyt) 日本Androidの会 学生部
  2. 2. 今年のI/Oは...
  3. 3. Qにおけるプライバシーとセキュリティ https://youtu.be/bFp2n5OxYEE?t=180 より引用
  4. 4. I/O 2019での Androidが関係する セキュリティ系セッ ション (抜粋) ● Security on Android: What's Next ○ https://youtu.be/0uG_RKiDmQY ● Overview of Privacy Changes in Android Q ○ https://youtu.be/bFp2n5OxYEE ○ プライバシーにおける変更点の話 ○ Forward Privacyなアプリの作成方法 ● What’s New in Shared Storage ○ https://youtu.be/3EtBw5s9iRY ○ shared storageの権限まわりの変更など ● Protecting Users from Deception ○ https://youtu.be/18g9RY-SpBI ○ WebAuthnやFIDO2の話 (Androidアプリに関する利用事例も)
  5. 5. Security on Android - Security on Android: What's Next https://youtu.be/0uG_RKiDmQY?t=226 より引用
  6. 6. 暗号化ストレージ - Security on Android: What's Next 背景 新興国のローエンドデバイスは ハードウェアアクセラレーションが効かない → 暗号化がボトルネックになりUXが下がる ● ローエンドデバイスには新興国の スマートフォン、スマートウォッチ、IoT機器などが含まれる ○ 新興国では多くのフィーチャーフォンも利用されている ハードウェアアクセラレーションなしでも高速 に動作する暗号利用モードが必要
  7. 7. 暗号化ストレージ - Security on Android: What's Next Adiatum ● AES-256とChaCha12ベースの暗号利用モード ○ 従来Androidで提供されていたAESでの Full Disk Encryptionの代替案 ○ ローエンドARMデバイスでのディスク暗号化を想定 ○ AES-256-XTSより5倍高速 ● Qが載る全てのデバイスに搭載される ● 2月頃に公式ブログでチラ見せしてた ○ 公式ブログ(英語): https://security.googleblog.com/2019/02/introducing-adiantum-encryption-for.html ○ 公式ブログ(日本語): https://developers-jp.googleblog.com/2019/03/adiantum.html
  8. 8. 暗号化ストレージ - Security on Android: What's Next Android Jetpack Security Library ● Android 6.0+ supported ● アプリレイヤーで暗号化したい需要をカバー ○ Nonceや鍵の扱いなど、暗号専門ではない 開発者にとって難しい部分をライブラリ化 引用: https://youtu.be/0uG_RKiDmQY?t=679
  9. 9. 通信の暗号化 - Security on Android: What's Next TLS1.3 ● Android QではTLS1.3がデフォルトで有効 ● アプリから利用するにはBuild-in TLS providerを使う 利用するにはサーバー側の対応が必須 ● メジャーなサーバーミドルウェアでは対応可能 (Nginx, Apacheなど) ● OpenSSL 1.1.1以上が必要 ※サーバー側は各自設定を確認してください
  10. 10. 通信の暗号化 - Security on Android: What's Next https://youtu.be/0uG_RKiDmQY?t=822 より引用 参考: https://developer.android.com/training/articles/security-config?hl=ja
  11. 11. App singing keys - Security on Android: What's Next こんな悩みはありませんか? ● Play Storeへ公開する際の署名鍵 ○ 鍵が弱い(十分なエントロピーがない)場合 ○ いつ生成されたのかわからない ○ 失くしたりアクセスする術がなくなったり... Google Play App Signing @Google I/O 2017で発表
  12. 12. App singing keys - Security on Android: What's Next Android P+でサポート ● 弱い鍵を使っていて強い鍵に移行したい → Google Playが開発者に代わって 強い鍵(よりエントロピーが長い鍵)へ更新してくれる ○ すでにアプリをインストールしているユーザのアプリは以 前の署名鍵が使われる ○ 新規のユーザーと アプリを再インストールするユーザへは 新しい署名鍵が使われる Key Rotation(新機能) - Google Play App Signing
  13. 13. User authentication - Security on Android: What's Next アプリに生体認証を追加するコンポーネント 指紋、顔、虹彩など BiometricPrompt @Google I/O 2018 https://youtu.be/0uG_RKiDmQY?t=1178 より引用
  14. 14. User authentication - Security on Android: What's Next ● 指紋や顔認証のサポートの強化 ○ Explicit confirmation(確認ボタンの追加) ○ ユーザが別の認証方法を選択できるようになった BiometricPromptの新機能 @Google I/O 2019 https://youtu.be/0uG_RKiDmQY?t=1217 より引用 決済などの 重要な取引での 利用を想定
  15. 15. User authentication - Security on Android: What's Next ● より実装が簡単になった (beta3でAPIの名前が変更されたので注意) BiometricPromptの新機能 @Google I/O 2019 https://youtu.be/0uG_RKiDmQY?t=1318 より引用
  16. 16. User authentication - Security on Android: What's Next ● バイオメトリクスが有効な端末のみのみ チェックボックスの表示ができる BiometricPromptの新機能 @Google I/O 2019 https://youtu.be/0uG_RKiDmQY?t=1395 より引用
  17. 17. User authentication - Security on Android: What's Next ● Android 7+はFIDO2/WebAuthn準拠 ● ネイティブアプリからも利用可能 Android 7+ is FIDO2 certified https://youtu.be/0uG_RKiDmQY?t=1421 より引用 https://developers.google.com/identity/fido/android/native-app
  18. 18. User authentication - Security on Android: What's Next ● Android スマホをTitan Security KeyやYubiKeyのような のFIDO2相当の2要素認証キーとして動作させるもの Android Phone as Security key (Android 7+ Google /w Chrome) https://blog.google/technology/safety-security/your-android-phone-is-a-security-key/ https://youtu.be/0uG_RKiDmQY?t=1463より引用
  19. 19. Electronic ID support on Android - Security on Android: What's Next モチベーション ● 持ち物が多くて大変 ● ID(身分証明書)を電子化したい ● 最近、Electronic IDの研究は活発化してきている Electronic ID support on Android Android Qでは Electronic IDがサポートされる
  20. 20. Electronic ID support on Android - Security on Android: What's Next Electronic ID support on Androidの開発をサポート ● IDのホルダーアプリの開発など での利用を想定 ○ モバイル運転免許証など ○ コミュニケーションは自由に定義できる ○ 近い将来にJetpack compatibleなものがリリースされる 予定らしい ○ (将来のバージョンでは)安全性は セキュアハードウェアによって担保される ■ Qではソフトウェアでの実装 Identity Credential API
  21. 21. Firmware Transparency - Security on Android: What's Next 自分のデバイスをどのようにして信頼すればいいか ● ファームウェアの真正性 ● インサイダー攻撃への対策 ○ ハードウェアやプロトコルの設計者などの 特権的なアクセスを持つ人による不正への対策 I/O 2018では対策の一環として バックアップをE2Eで暗号化する取り組みを紹介
  22. 22. Firmware Transparency - Security on Android: What's Next ファームウェアの真正性を検証できるツールを公開 (現在はPixel3, Pixel3aシリーズのみ) https://youtu.be/0uG_RKiDmQY?t= 2103 より引用
  23. 23. Firmware Transparency - Security on Android: What's Next ファームウェアの署名鍵の保護はハードウェアによって実現 (titan m /w pixel3, pixel3a) https://youtu.be/0uG_RKiDmQY?t= 2153 より引用
  24. 24. Updatability - Security on Android: What's Next Project Mayline ● システムコンポーネントを Googleから直接アップデート ○ 例えばMedia Framework
  25. 25. Hardening - Security on Android: What's Next https://security.googleblog.com/2019/05/queue-hardening-enhancements.html ● サニタイズ ● 制御フロー ● Hardware ASan(AddressSanitizer) などの機能を提供しOSのセキュリティを強化 アプリからも利用可能 ● 例: Android Qをターゲットにする場合 実行専用メモリがデフォルトで有効
  26. 26. その他 ● Permissionまわり ○ Locationの扱いなど ● Shared Storage周り ○ Scope Storage ● Hardware based identifier ○ MAC address randomization etc... ABC2019Sではフルバージョンで報告します...! https://japan-android-group.connpass.com/event/125928/
  27. 27. ● Security on Android: What's Next ○ https://youtu.be/0uG_RKiDmQY ● Overview of Privacy Changes in Android Q ○ https://youtu.be/bFp2n5OxYEE ○ プライバシーにおける変更点の話 ○ Forward Privacyなアプリの作成方法 ● What’s New in Shared Storage ○ https://youtu.be/3EtBw5s9iRY ○ shared storageの権限まわりの変更など ● Protecting Users from Deception ○ https://youtu.be/18g9RY-SpBI ○ WebAuthnやFIDO2の話 (Androidアプリに関する利用事例も) 再掲 I/O 2019での Androidが関係する セキュリティ系セッ ション (抜粋)
  28. 28. 日本Androidの会学生部とは? 「”Android”だけにこだわらず、ビジネス系・技術系 ・デザイナー系の学生が集まり、切磋琢磨していく場所」を作る http://student.android-group.jp/about/ より引用 をモットーに活動しています! 付録:
  29. 29. 日本Androidの会学生部とは? 付録:

×