モバイルアプリのサンドボックス
モバイルアプリのサンドボックス とは何ですか?
モバイルアプリのサンドボックスOS が強制する境界で、モバイルアプリがアクセスできるファイル・IPC・API を制限し、侵害されたアプリが他アプリのデータに容易に到達できないようにする仕組み。
iOS では App Sandbox がアプリごとのコンテナディレクトリ、強制アクセス制御、コード署名、エンタイトルメントの組み合わせでアプリを閉じ込めます。Android では各アプリに 1 つの Linux UID を割り当て、SELinux ポリシー、スコープドストレージ、権限で守られたプラットフォーム API を用います。Verified Boot や Secure Enclave/TrustZone と合わせて、サンドボックスはモバイルセキュリティの土台です。アプリでリモートコード実行が起きても、攻撃者がカーネルやドライバの脆弱性を連鎖させない限り影響はそのコンテナ内に閉じ込められます。脱獄・root・一部のフッキングツールはサンドボックスを意図的に弱体化するため、銀行や業務アプリの多くはそのような環境での起動を拒否します。
● 例
- 01
iOS では、メッセージアプリは Documents ピッカーでユーザーが明示的に選ばない限り、自分のコンテナ内のファイルしか読めない。
- 02
Android のスコープドストレージにより、懐中電灯アプリが他アプリのプライベートディレクトリの写真を読み取れない。
● よくある質問
モバイルアプリのサンドボックス とは何ですか?
OS が強制する境界で、モバイルアプリがアクセスできるファイル・IPC・API を制限し、侵害されたアプリが他アプリのデータに容易に到達できないようにする仕組み。 サイバーセキュリティの モバイルセキュリティ カテゴリに属します。
モバイルアプリのサンドボックス とはどういう意味ですか?
OS が強制する境界で、モバイルアプリがアクセスできるファイル・IPC・API を制限し、侵害されたアプリが他アプリのデータに容易に到達できないようにする仕組み。
モバイルアプリのサンドボックス からどのように防御しますか?
モバイルアプリのサンドボックス に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。
モバイルアプリのサンドボックス の別名は何ですか?
一般的な別名: App Sandbox, アプリサンドボックス。