○ | 動的解析で診断できる項目 |
---|---|
△ | 静的診断すると精度よく検出できる項目(動的診断でも可) |
ー | 機能がないため診断対象外の項目 |
カテゴリー | 診断項目 | iOS | Android |
---|---|---|---|
データ保護 | アカウント情報の保護 | ○ | ○ |
アプリケーションログ | △ | ○ | |
キーボードキャッシュの無効化 | ○ | ○ | |
クリップボードの許可状況 | ○ | ○ | |
パスワードやPINの画面表示 | ○ | ○ | |
OSバックアップファイルへの機密データ出力 | △ | ー | |
共有ファイルの利用状況 | ○ | ○ | |
キャッシュファイルの利用状況 | ○ | ○ | |
最低限のパーミッション設定 | ○ | ○ | |
機密データ利用目的への説明 | ○ | ○ | |
機密データのメモリロードと破棄状況 | ○ | ○ | |
暗号化 | 暗号化キーのハードコーディング | △ | ○ |
脆弱な暗号化方式の採用 | △ | ○ | |
脆弱な暗号化アルゴリズムの利用 | △ | △ | |
暗号化キーの使いまわし | △ | △ | |
乱数ジェネレーターの強度 | △ | △ | |
認証とセッション管理 | 認証処理の不備 | △ | △ |
セッションIDの生成方法 | ○ | ○ | |
ログアウト | ○ | ○ | |
パスワードポリシー | ○ | ○ | |
不適切なバイオメトリクス認証の実装 | △ | ー | |
ログイン通知機能の不備 | ○ | ○ | |
ネットワーク通信 | TLSの利用 | △ | △ |
SSL証明書の検証不備 | △ | △ | |
証明書ストアの利用方法 | △ | ○ | |
プラットフォームAPI | 不要なAPIの使用 | ○ | ○ |
データ入力値へのチェック処理 | ○ | ○ | |
カスタムスキームの利用状況 | ○ | ○ | |
危険なスキームの利用 | ○ | ○ | |
WebViewのJavascriptアクセス | ー | ○ | |
危険なIMEIやUUIDの利用方法 | △ | △ | |
危険なシリアル化APIの使用 | △ | △ | |
プログラムコードとビルド設定 | 不適切なプロビジョニング | ○ | ー |
デバッグモードの有効化 | △ | △ | |
デバッグシンボルの削除状況 | △ | ○ | |
利用コンポーネントの既知の脆弱性 | △ | △ | |
エラーハンドリング状況 | ○ | ○ | |
セキュリティコントロールのエラー設定状況 | ○ | ー | |
メモリリークやメモリ保護の状況 | △ | △ | |
スタック保護やPIEサポートの設定状況 | △ | △ | |
リバースエンジニアリング | 不適切なRootチェック | ○ | ○ |
不適切なエミュレータチェック | ○ | ○ | |
機密データのメモリへの直接ロード | △ | △ | |
データ改ざん検知機能の有無 | ○ | ○ | |
リバースエンジニアリングツールの検知 | ○ | ○ | |
デバッグプロトコルの許可状況 | △ | △ | |
プログラムコードの難読化 | ○ | ○ | |
サーバーAPI | ※Webアプリケーション脆弱性診断の診断項目を参照のこと リンク掲載 |