スマートフォンアプリケーションに潜む
脆弱性を報告します。

「スマートフォンアプリケーション脆弱性診断」とは、専用の解析用PCを用いて、
スマートフォンアプリケーションおよび連携しているサーバのAPIに対して、
インターネット経由で脆弱性診断を実施するサービスです。

特徴

:

動的解析で診断できる項目

:

静的解析で診断すると精度よく検出できる項目(動的診断でも可)

:

機能がないため診断対象外の項目

カテゴリ

診断項目

iOS

Android

データ保護

アカウント情報の保護

アプリケーションログ

キーボードキャッシュの無効化

クリップボードの許可状況

パスワードやPINの画面表示

OSバックアップファイルへの機密データ出力

共有ファイルの利用状況

キャッシュファイルの利用状況

最低限のパーミッション設定

機密データ利用目的への説明

機密データのメモリロードと破棄状況

暗号化

暗号化キーのハードコーディング

脆弱な暗号化方式の採用

脆弱な暗号化アルゴリズムの利用

暗号化キーの使いまわし

乱数ジェネレーターの強度

認証とセッション管理

認証処理の不備

セッションIDの生成方法

ログアウト

パスワードポリシー

不適切なバイオメトリクス認証の実装

ログイン通知機能の不備

ネットワーク通信

TLSの利用

SSL証明書の検証不備

証明書ストアの利用方法

プラットフォームAPI

不要なAPIの使用

データ入力値へのチェック処理

カスタムスキームの利用状況

危険なスキームの利用

WebViewのJavascriptアクセス

危険なIMEIやUUIDの利用方法

危険なシリアル化APIの使用

プログラムコードとビルド設定

不適切なプロビジョニング

デバッグモードの有効化

デバッグシンボルの削除状況

利用コンポーネントの既知の脆弱性

エラーハンドリング状況

セキュリティコントロールのエラー設定状況

メモリリークやメモリ保護の状況

スタック保護やPIEサポートの設定状況

リバースエンジニアリング

不適切なRootチェック

不適切なエミュレータチェック

機密データのメモリへの直接ロード

データ改ざん検知機能の有無

リバースエンジニアリングツールの検知

デバッグプロトコルの許可状況

プログラムコードの難読化

サーバーAPI

※ Webアプリケーション脆弱性診断の診断項目を参照のこと

企業を取り巻く様々なセキュリティリスクについて

まずは、結果レポートのサンプルをご確認ください。

EG セキュアソリューションズのスマートフォンアプリケーションの脆弱性診断報告書サンプルの送付を希望される方は、以下のページのフォームを送信されますと、スマートフォンアプリケーションの脆弱性診断報告書サンプルのダウンロードURLを記載したメールが、ご記入されたメールアドレス宛に送信されます。

ご利用にあたっての 注意事項

EGセキュアソリューションズ株式会社(以下、「当社」といいます。)が
提供する脆弱性診断業務(以下、「本業務」といいます。)を利用していただくには、
「脆弱性診断サービス利用約款」(以下、「本約款」といいます。)に同意のうえ、
本約款を遵守していただく必要があります。また、本約款は、
本業務を利用するお客様と当社との間で定めるものです。