脆弱性診断

HOME > サービス > 脆弱性診断 > スマホアプリ脆弱性診

スマホアプリ脆弱性診断

脆弱性診断

普及するスマートフォンアプリケーションシステム向けの診断サービス

スマートフォン利用率が6割を超え、20歳代79.1%が利用する* 現在、スマートフォン市場を攻略したい事業者にとってセキュリティ対策を疎かにすることは命取りとなりかねません。
BBSecの提供するスマホアプリ脆弱性診断は、サーバ検査・クライアントアプリケーション検査を通じ、利用者情報が適切に取り扱われているか検査を行う診断サービスです。本検査は、総務省が提言する「関係事業者向け スマートフォン利用者情報取扱指針」で示された6つの基本原則を考慮しています。

* 平成27年度情報通信白書のデータに基づく

サービス概要

サーバ、アプリそれぞれに診断を行い、双方の結果を分析・統合し、レポートを作成いたします。

 

診断対象
スマートフォン向けアプリケーション(iOSおよびAndroid版)および同アプリケーションと通信を行うサーバAPI
アプリケーションソースコード診断
クライアントアプリそのものに対するソースコードの静的解析を実施致します。 ウイルスやその他のコードにより、スマートフォンのOS経由で専用アプリが攻撃される可能性をソースコードレビューで発見致します。また、重要情報(個人情報、クレジットカード情報等)の保持形態についても検査を行い、保存先や適切な暗号化がなされているかという観点でリスク分析致します。
Webシステム/Webサーバ側のリスク分析
従来のWebサイトと同様に、API、ネットワーク、Webアプリケーションに対するペネトレーションテストを実施致します。特に、Webシステムの場合は、各種インジェクションに代表される情報漏えいへ直結する攻撃や、XSSを悪用したセッション乗っ取り、ドライブバイダウンロードといった間接的に被害を拡大させる攻撃が存在するため、豊富な診断実績をもとにしたリスク分析をご提供致します。

診断手順

主な診断項目

サーバ側
認証 Cookieの取り扱いに関する調査、セッションIDに関する調査、クロスサイトリクエストフォージェリ
入出力処理 クロスサイトスクリプティング、SQLインジェクション、コマンドインジェクション、ディレクトリトラバーサル、ファイルアップロード、パラメータ推測
一般的な脆弱性 既知のソフトウェア脆弱性、強制ブラウジング、ディレクトリリスティング
Webサーバ設定 システム情報の開示、サーバエラーメッセージ
スマートフォンアプリケーション側(通信診断)
不正通信の確認 外部サーバへの個人情報/機密情報の不正送信の有無を確認します。
HTTPレスポンス診断 アプリの入力となるHTTPレスポンスをキャプチャ・改竄することによってアプリの脆弱性診断を行います。
HTTPリクエスト診断
(Web API診断)
通常のWebアプリ診断と同様の内容です。サーバ側の脆弱性診断を行います。
端末内データ診断
端末内データの不備 端末内のファイル(Database,Preference等含む)などにパスワードや個人情報などのデータを平文で保存していないことを確認します。
端末内データ改竄による
不正行為
端末内データを改竄することによる不正行為(チート、残高偽装、購入履歴偽装等)の可否を確認します。
パーミッションの設定不備 重要情報を含むファイルが他アプリからアクセスできるパーミッションになっていないかを確認します。
SDカードへの機密情報の出力 他アプリからアクセス可能なSDカード内へ個人情報/機密情報を保存の有無を確認します。
ログへの機密情報の出力 ログにユーザの個人情報/機密情報の出力の有無を確認します。
コンテントプロバイダからの
アクセス制御不備
個人情報/機密情報へアクセス可能なコンテントプロバイダが意図せず他のアプリから不正にアクセス可能かを確認します。
バイナリ診断
耐タンパー性の確認 逆コンパイルの可否や難読化の有無等を確認します。
リバースエンジニアリング
による脆弱性解析
リバースエンジニアリングによる脆弱性の解析を行います。
ソースコードへの
機密情報の出力有無
逆コンパイルしたソースコード内に暗号化キーや隠し機能、隠しURL等の情報がハードコーディングされていないかを確認します。
通信プロトコルの解析 HTTP以外のプロトコルが使われている場合は解析し、脆弱性の有無を確認します。

脆弱性診断に関するお問い合せはこちらから