Hello there, ('ω')ノ
✅ チェックするセキュリティ設定の主な項目
| 項目 | 説明 |
|---|---|
| AndroidManifestの設定 | exported / debuggable / allowBackup など |
| ネットワークセキュリティ構成 | HTTP通信の許可/証明書検証の挙動 |
| WebViewの設定 | JavaScriptや外部アクセスの許可範囲 |
| ファイルアクセス制限 | 外部ストレージや内部ストレージの使い方 |
| コンテンツプロバイダ | アクセス制御・読み取り/書き込み制限 |
🧪 Step 1:AndroidManifest.xml の確認(APKTool or MobSF)
まずは、APKを展開して AndroidManifest.xml をチェックしましょう。
apktool d notepadapp.apk
主な確認ポイント:
✅ android:debuggable
<application android:debuggable="true" />
→ 本番環境でこれが true になっていたら 絶対NG!
✅ android:allowBackup
<application android:allowBackup="true" />
→ 他のアプリやADB経由でアプリデータのバックアップが可能に。
→ false にしておくのが安全です。
✅ android:exported
<activity android:name=".NoteActivity" android:exported="true" />
→ 不必要なコンポーネントの外部公開は、攻撃対象になりやすい。
🧪 Step 2:Network Security Config(res/xml/network_security_config.xml)
もしアプリ内に network_security_config.xml がある場合は確認。
<network-security-config> <base-config cleartextTrafficPermitted="true" /> </network-security-config>
→ cleartextTrafficPermitted="true" となっていると、HTTP通信が許可されてしまう。
→ HTTPS通信に限定すべき。
🧪 Step 3:WebViewの使用設定(Javaコード)
この続きはcodocで購入
