スマートフォンアプリケーション脆弱性診断

概要

スマートフォン環境でのセキュリティ強化を実現

ご利用者様保有の端末にダウンロードして利用されるスマートフォンアプリケーションでは、端末側で発生する問題とスマートフォンアプリケーションが通信するWebサイト側で発生する問題が存在します。

AndroidおよびiOS上で動作するアプリケーションを解析し、情報漏えいリスクや悪用される可能性、Webサイトへの不正アクセスの可能性について、評価・分析いたします。


また検出された脆弱性について、発生原因、想定される被害、対応策を提示することで、事象の把握および適切な対応を可能とし、よりセキュアなスマートフォンアプリケーション開発を行う為の支援をいたします。

サービスイメージ

一般的なスマートフォンアプリケーションはブラウザからのWebアクセスと同様のプロトコルを利用してサーバと通信します。

通信内容は改ざん可能であるため、想定外の値挿入や想定外箇所へのアクセス等不正な操作による被害発生の可能性を診断いたします。また、スマートフォンアプリケーションに保存されたファイルの不正使用や漏えいリスクについても評価・分析いたします。


サービス内容イメージ図

サービスフロー


診断項目

スマートフォンアプリケーションからの通信及び受信するWebサーバサイドアプリケーションの脆弱性を診断いたします。

 

また、スマートフォンアプリケーション内に潜在する脆弱性も診断対象とします。


診断項目名 診断概要
データ保管の危険性 秘匿とすべき情報の保存場所や保存方法
サーバ上の安全対策不備 Webアプリケーション脆弱性検査項目を評価します。
トランスポートレイヤー保護の不備 秘匿とすべき情報の送受信時に暗号化通信が使用されているか、証明書の検証エラーが無視されていないかを評価します。
クライアント側での
インジェクション攻撃
端末側アプリケーションに対するクロスサイトスクリプティングやSQLインジェクション攻撃が可能であるか、電話やSMSなど端末特有機能の悪用が可能であるか評価します。
認証や認可の問題 認証および認可処理が適切に実施されているか(端末IDにのみ依存した認証となっていないかなど)を評価します。
セッションの不適切な取り扱い セッション管理手法を評価します。セッション管理識別子に端末IDや固定値が使用されていた場合、脆弱性として報告します。
信頼できない入力の取り扱い アプリケーションが外部から呼び出し可能なインターフェース(AndroidではIntent、iOSではURLスキーム)を提供する場合の悪用可能について評価します。
横道(副経路)からのデータ漏えい サードパーティアプリケーションを経由してログやキャッシュなどから秘匿とすべき情報が漏えいする作りとなっていないか評価します。
不適切な暗号化 暗号化データの復号を施行します。復号した値が秘匿すべき情報であった場合、脆弱性として報告します。
Androidアプリ限定のオプション
(リバースエンジニアリングによる)
秘匿とすべき情報の漏えい
パスワード、キーなどの秘匿とすべき情報がハードコードされていないか確認します。リバースエンジニアリングにより機密情報が取得できた場合、脆弱性として報告します。
過剰なパーミッションの付与 インストール時に過剰なパーミッションが要求される構成となった場合、脆弱性として報告します。

お問い合わせ

株式会社ユービーセキュア

営業統括部 営業部

TEL:03-5730-3033 FAX:03-5730-3055

メールでのお問い合わせ >