著者
川端 秀明 磯原 隆将 竹森 敬佑 窪田 歩 可児 潤也 上松 晴信 西垣 正勝
雑誌
コンピュータセキュリティシンポジウム2011 論文集
巻号頁・発行日
vol.2011, no.3, pp.161-166, 2011-10-12

Android OSを搭載した端末では,アプリケーション(以下,アプリ)をインストールする際に,アプリが利用する機能や情報をパーミッションという単位でユーザに通知して,インストールの可否を仰いでいる.しかしながら,一度ユーザがアプリのパーミッションを許可してしまうと,そのアプリがパーミッションをどのように利用しているのか把握することができず,制御が効かない問題がある.そこで本稿では,実行中のアプリに対して,利用する機能や情報へのアクセスをリアルタイムで制御するフレームワークを提案する.危険を伴うパーミッションに付随するAPIに割り込み処理を実装し,パフォーマンス評価を行い有効性を示す.
著者
竹森 敬祐 磯原 隆将 川端 秀明 窪田 歩 高野 智秋 可児 潤也 西垣 正勝
出版者
一般社団法人電子情報通信学会
雑誌
電子情報通信学会技術研究報告. ISEC, 情報セキュリティ (ISSN:09135685)
巻号頁・発行日
vol.113, no.135, pp.425-432, 2013-07-11

情報収集モジュールなどを組み込んだスマホアプリからの勝手な情報送信が問題となる中、利用者に送信情報を説明するアプリ向けのプライバシーポリシー(以後、アプリプラポリ)の策定が求められている。我々は、情報送信を伴うアプリとアプリプラポリの実態調査を行い、63%のアプリが情報送信を行い、うち9割がアプリプラポリを持たないか、持っていたとしても送信情報を正しく記載していないことがわかった。そこで本研究では、Marketがアプリの第三者検証機関として審査役を担い、正確で解りやすいアプリプラポリを生成・提示することで、利用者判断を仰ぐフレームワークを提案する。特徴として、アプリ解析力のある技術検証機構を持つことで、誤った申告とアプリプラポリの生成を予防できる。ここで、アプリのダウンロードや利用実績に応じた報酬を支払うレベニューシェアを適用する。これにより、過剰な情報送信や目的が判然としないアプリは利用者から倦厭され、報酬が低下する経済論を働かせる。本手法をアプリMarketに実装・運用した結果、16%のアプリしか情報送信を行わないこと、アプリの趣旨に沿った必要最低限の情報送信に限られることを確認する。
著者
川端 秀明 磯原 隆将 竹森 敬祐 窪田 歩
雑誌
研究報告コンピュータセキュリティ(CSEC)
巻号頁・発行日
vol.2011-CSEC-53, no.3, pp.1-6, 2011-05-05

Android OS の特徴として,利便性の高いアプリケーション (以下,アプリ) を実現するパーミッションという機構があり,アプリケーションのインストール時にユーザが承認することで,端末の情報や機能へのアクセス権を制御している.また,アプリの可用性の向上のために web 機能をアプリに内包する webkit を搭載している.これを用いることで,Android アプリと HTML,CSS,JavaScript など Web アプリとを柔軟に連携できる.しかし,webkit を利用したアプリが,外部サーバから JavaScript を受け取り実行した場合,アプリに与えられたパーミッションの範囲で実行される脅威がある.要するに,アプリ単体では不正な動作をしないが,後から送り込まれた悪意の JavaScript によって端末を操作されてしまう.そこで本研究では,アプリの静的解析により得られるコードの特徴から,後から送り込まれる JavaScript の機能を把握し,潜在的な脅威を推定する手法を提案する.これはアプリの実行コードの逆コンパイルによるコード解析であり,外部サーバの JavaScript から呼び出されるメソッドを特定することで,情報漏洩や端末の不正操作を推定する.