スマートフォンアプリケーション脆弱性診断

スマートフォンアプリケーションに潜む脆弱性を報告します。

「スマートフォンアプリケーション脆弱性診断」とは、専用の解析用PCを用いて、スマートフォンアプリケーションおよび連携しているサーバのAPIに対して、インターネット経由で脆弱性診断を実施するサービスです。

 

診断方法

APIの診断

  • ・スマートフォンからインターネット経由でAPIにアクセスしてブラックボックスでAPIを診断

静的解析

  • ・スマートフォンアプリケーション開発の経験があるエンジニアにより目視でソースコードを診断

動的解析

  • ・専用のPCで実行プログラムを動作させ、不正な動作を調査
  • ・デバッガーを用いてプロセスアタッチを行い、アプリケーションのリソースを解析
  • ・逆アセンブルを行いソースコードを解析

 

 

関連サービス

特徴

ソースコード診断に対応
AndroidのJava言語、iOSのObjective-C言語、Swift言語に対応
きめ細かい診断項目
ハッカーの視点だけではなく、セキュア開発の観点も盛り込んだ、きめ細かい診断を実施
高度なリバースエンジニアリング
Java言語だけではなく、アセンブラ言語での解析が可能
Unity等のサードパーティ環境にも対応
クロスプラットフォーム環境で構築されたアプリケーションにも対応

スマートフォンアプリケーション脆弱性診断 診断項目

動的解析で診断できる項目
静的解析で診断すると精度よく検出できる項目(動的診断でも可)
機能がないため診断対象外の項目

 

カテゴリ 診断項目 iOS Android
データ保護 アカウント情報の保護
アプリケーションログ
キーボードキャッシュの無効化
クリップボードの許可状況
パスワードやPINの画面表示
OSバックアップファイルへの機密データ出力
共有ファイルの利用状況
キャッシュファイルの利用状況
最低限のパーミッション設定
機密データ利用目的への説明
機密データのメモリロードと破棄状況
暗号化 暗号化キーのハードコーディング
脆弱な暗号化方式の採用
脆弱な暗号化アルゴリズムの利用
暗号化キーの使いまわし
乱数ジェネレーターの強度
認証とセッション管理 認証処理の不備
セッションIDの生成方法
ログアウト
パスワードポリシー
不適切なバイオメトリクス認証の実装
ログイン通知機能の不備
ネットワーク通信 TLSの利用
SSL証明書の検証不備
証明書ストアの利用方法
プラットフォームAPI 不要なAPIの使用
データ入力値へのチェック処理
カスタムスキームの利用状況
危険なスキームの利用
WebViewのJavascriptアクセス
危険なIMEIやUUIDの利用方法
危険なシリアル化APIの使用
プログラムコードとビルド設定 不適切なプロビジョニング
デバッグモードの有効化
デバッグシンボルの削除状況
利用コンポーネントの既知の脆弱性
エラーハンドリング状況
セキュリティコントロールのエラー設定状況
メモリリークやメモリ保護の状況
スタック保護やPIEサポートの設定状況
リバースエンジニアリング 不適切なRootチェック
不適切なエミュレータチェック
機密データのメモリへの直接ロード
データ改ざん検知機能の有無
リバースエンジニアリングツールの検知
デバッグプロトコルの許可状況
プログラムコードの難読化
サーバーAPI ※ Webアプリケーション脆弱性診断の診断項目を参照のこと

ご利用にあたっての注意事項

EGセキュアソリューションズ株式会社(以下、「当社」といいます。)が提供する脆弱性診断業務(以下、「本業務」といいます。)を利用していただくには、「脆弱性診断サービス利用約款」(以下、「本約款」といいます。)に同意のうえ、本約款を遵守していただく必要があります。また、本約款は、本業務を利用するお客様と当社との間で定めるものです。

 

脆弱性診断サービス利用約款