Androidアプリの脆弱性が作り込まれてしまう原因や対策について実習形式で学べるEclipseプラグイン
AnCoLe(アンコール)では、Androidアプリの脆弱性(セキュリティ上の問題)に関して「学習」と「点検」をする機能を提供しています。
「学習」機能では、学習用アプリを用いて7テーマごとに、脆弱性の対策方法を学習できます。
「点検」機能では、利用者が作成したアプリに対し、脆弱性や問題点の有無を点検できます。
■学習の流れ
脆弱性の被害体験と対策方法を以下の流れで学習できます。
(1)脆弱性の被害体験:攻撃アプリを使い、脆弱性のあるサンプルアプリに攻撃を試行し、被害を体験する
(2)対策の学習:脆弱性の原因や対策方法を学習する
(3)サンプルアプリの修正:サンプルアプリのソースコードの原因箇所を修正する
(4)脆弱性の対策体験:攻撃アプリを使い、修正したサンプルアプリに攻撃を試行し、対策されていることを確認する
■点検の流れ
点検機能では、開発または開発中のアプリに問題が無いかを以下の流れで点検できます。
(1)点検:開発中のアプリを本ツールに読み込み、脆弱性や問題点の有無を点検する
(2)結果の確認:表示される点検結果から問題となる箇所のソースコードを把握する
(3)-1.再学習[学習機能との連携]:点検の結果、問題があった場合には、学習機能を使用して対策方法を学習する
(3)-2.終了:点検の結果、問題がなければ終了する
本ツールは、統合開発環境Eclipseのプラグインです。
Eclipseのインストール後に、本ツールをインストールして下さい。
インストールは、以下の通りです。
手順1
インストールする前にEclipseが起動しているかどうか確認し、起動している場合はEclipseを終了します。
手順2
ダウンロードしたファイル「ancole.zip」を任意のフォルダに展開し、展開したフォルダから「jp.go.ipa.android.security.learning_...」で始まるjarファイルをEclipseインストールフォルダ直下の「dropins」フォルダに格納します。(「dropins」フォルダは、Eclipse本体と同じ階層にあります。)
手順3
Eclipseを起動し、ツールバー上の「鉛筆」と「虫眼鏡」のボタンが表示されていることを確認します。(ボタンが表示されていればインストール成功です。表示されない場合、パースペクティブから"AnCoLe(アンコール)"を選択して下さい。)
なお、本ツールはWindows環境で動作テストをしています。Mac環境でも動作しますが、動作保証はしておりません。
ソフト名: | Androidアプリの脆弱性の学習・点検ツール AnCoLe |
---|---|
動作OS: | Windows 8/7/Vista |
機種: | IBM-PC x64 |
種類: | フリーソフト |
作者: | IPA(独立行政法人 情報処理推進機構)セキュリティセンター |