MASTG-KNOW-0014 Android Network Security Configuration
Android 7.0 (API レベル 24) 以降、Android アプリはいわゆる Network Security Configuration 機能を使用して、ネットワークセキュリティ設定をカスタマイズできます。これは以下の主要な機能を提供します。
クリアテキストトラフィック: クリアテキストトラフィックの偶発的な使用からアプリを保護します (またはそれを有効にします) 。
カスタムトラストアンカー: アプリのセキュア接続のために信頼する認証局 (Certificate Authority, CA) をカスタマイズできます。たとえば、特定の自己署名証明書を信頼したり、アプリが信頼するパブリック CA のセットを制限します。
証明書ピンニング: アプリのセキュア接続を特定の証明書に制限します。
デバッグのみのオーバーライド: インストールベースへの追加リスクなしに、アプリのセキュア接続を安全にデバッグします。
アプリがカスタム Network Security Configuration を定義している場合、AndroidManifest.xml ファイルの android:networkSecurityConfig
を探すことでその場所を取得できます。
<application android:networkSecurityConfig="@xml/network_security_config"
この場合、ファイルは @xml
(/res/xml と同じ) にあり、名前は "network_security_config" (異なることがあります) です。 "res/xml/network_security_config.xml" として見つけることができるはずです。コンフィグレーションが存在する場合、システムログ (システムログの監視 (Monitoring System Logs)) に以下のイベントが表示されるはずです。
D/NetworkSecurityConfig: Using Network Security Config from resource network_security_config
Network Security Configuration は XML ベース で、アプリ全体とドメイン固有の設定を構成するために使用できます。
base-config
はアプリが確立しようとするすべての接続に適用されます。domain-config
は特定のドメインに対してbase-config
をオーバーライドします (複数のdomain
エントリを含めることができます) 。
たとえば、以下のコンフィグレーションでは base-config
を使用して、すべてのドメインに対してクリアテキストトラフィックを禁止しています。しかし domain-config
を使用してそのルールをオーバーライドし、localhost
に対するクリアテキストトラフィックを明示的に許可しています。
<?xml version="1.0" encoding="utf-8"?>
<network-security-config>
<base-config cleartextTrafficPermitted="false" />
<domain-config cleartextTrafficPermitted="true">
<domain>localhost</domain>
</domain-config>
</network-security-config>
さらに学ぶために:
デフォルトコンフィグレーション
Android 9 (API レベル 28) 以上を対象とするアプリのデフォルトコンフィグレーションは以下のとおりです。
<base-config cleartextTrafficPermitted="false">
<trust-anchors>
<certificates src="system" />
</trust-anchors>
</base-config>
Android 7.0 (API レベル 24) から Android 8.1 (API レベル 27) を対象とするアプリのデフォルトコンフィグレーションは以下のとおりです。
<base-config cleartextTrafficPermitted="true">
<trust-anchors>
<certificates src="system" />
</trust-anchors>
</base-config>
Android 6.0 (API レベル 23) 以下を対象とするアプリのデフォルトコンフィグレーションは以下のとおりです。
<base-config cleartextTrafficPermitted="true">
<trust-anchors>
<certificates src="system" />
<certificates src="user" />
</trust-anchors>
</base-config>
Last updated
Was this helpful?