スマホアプリケーション
脆弱性診断
セキュリティ診断( 脆弱性診断 )
対象とするスマートフォン向けアプリケーション(iOSおよびAndroid版)と通信するサーバーAPI
それぞれに診断を行い、結果を分析しレポート作成します。
クライアントアプリそのものに対するソースコードの静的解析を実施しますので、ウイルスやその他のコードにより、
スマートフォンのOS経由で専用アプリが攻撃される可能性をソースコードレビューで発見致します。
また、重要情報(個人情報、クレジットカード情報等)の保持形態についても検査を行い、
保存先や適切な暗号化がなされているかという観点でリスク分析致します。
スマホアプリが抱えるリスクRISKS
重要情報の取り扱い
スマホプリでは「電話帳・メール・通信ログ・位置情報(GPS)・決済情報・利用履歴」といった、Webアプリよりも多くの重要情報が扱われる。
クライアント端末側での
Webアプリではサービス提供者が管理可能なサーバ側で情報を保持していたが、スマホアプリはユーザ端末側に情報が保持される。サーバ側はOS・サービスへのパッチ適用、Firewall等のセキュリティソリューションで守られたが、ユーザ端末の保護はユーザに依存する。
クライアント・サーバ間の
Webアプリでは一般に普及しているブラウザ(Chrome,Safariなど)でアクセスするが、スマホアプリでは独自開発された機能でアクセスする。常時電源オンかつインターネットに接続された状態である。
事例 1:新卒採用アプリの脆弱性
内容:新卒採用アプリにおいて、JWT(JSON Web Token)の秘密鍵がハードコードされていて、アプリ内のデータを解析されると窃取される恐れ
原因:ハードコードされた暗号鍵の使用
事例 2:ネットワーク設定アプリの脆弱性
内容:ネットワーク設定アプリにおいて、中間者攻撃(Main-in-the-Middle attack)による暗号通信の盗聴や改ざんの恐れ
原因:SSLサーバ証明書の検証不備
事例 3:ポータルアプリの脆弱性
内容:ユーザの端末にインストールされた他のアプリを介して、当該製品のWebView上で任意のスクリプトが実行される恐れ
原因:XSS(クロスサイトスクリプティング)の脆弱性
スマホアプリが抱えるリスクを的確にとらえ、
分析・対応することが求められます。
サービスの特徴FEATURES
①アプリケーションそのものの診断
(スマホアプリ診断)
②スマホアプリ⇔サーバ間の通信の診断(API診断)を
ご提供いたします。
診断項目ASSESSMENT ITEM
| 診断項目 | 検査項目 | Androidアプリ | iOSアプリ | ||
|---|---|---|---|---|---|
| ノーマル | プラチナ | ノーマル | プラチナ | ||
| 通信診断 | 不正通信の有無(不要な情報の送信・意図しないサーバとの通信) | ○ | ○ | ○ | ○ |
| 重要情報の送信における不備(個人情報・ID/パスワード・決済情報) | ○ | ○ | ○ | ○ | |
| SSL/TLS暗号化通信の検証(証明書・暗号化方式) | ○ | ○ | ○ | ○ | |
| 端末内 データ診断 |
データ保持における不備(File,Database等での平文保持) | ○ | ○ | ○ | ○ |
| データ改竄による不正行為(チート・課金回避) | ○ | ○ | ○ | ○ | |
| ログへの重要情報の出力(個人情報・ID/パスワード) | ○ | ○ | ○ | ○ | |
| パーミッションの設定不備 | ○ | ○ | - | - | |
| SDカードへの機密情報の出力 | ○ | ○ | - | - | |
| バイナリ診断 セキュアコー |
アプリ間連携・共有機能のアクセス制御不備 | × | ○ | - | - |
| WebView関連の問題点の有無 | × | ○ | × | ○ | |
| 難読化・耐タンバー性の確認 | × | ○ | × | ○ | |
| プロトコルの解析(HTTP以外) | × | ○ | × | ○ | |
| リバースエンジニアリングによる解析(ソースコード・ロジック) | × | ○ | × | ○ | |
アウトプットサンプルSAMPLE
大きな被害を受ける前に、
有効な対策準備をするなら
