スマートフォンアプリケーション診断

概要

スマートフォン環境でのセキュリティ強化を実現

ご利用者様保有の端末にダウンロードして利用されるスマートフォンアプリケーションでは、端末側で発生する問題とスマートフォンアプリケーションが通信するWebサイト側で発生する問題が存在します。

AndroidおよびiOS上で動作するアプリケーションを解析し、情報漏えいリスクや悪用される可能性、Webサイトへの不正アクセスの可能性について、評価・分析いたします。


また検出された脆弱性について、発生原因、想定される被害、対応策を提示することで、事象の把握および適切な対応を可能とし、よりセキュアなスマートフォンアプリケーション開発を行う為の支援をいたします。

サービスイメージ

一般的なスマートフォンアプリケーションはブラウザからのWebアクセスと同様のプロトコルを利用してサーバと通信します。

通信内容は改ざん可能であるため、想定外の値挿入や想定外箇所へのアクセス等不正な操作による被害発生の可能性を診断いたします。また、スマートフォンアプリケーションに保存されたファイルの不正使用や漏えいリスクについても評価・分析いたします。


サービス内容イメージ図

サービスフロー


診断項目

スマートフォンアプリケーションからの通信及び受信するWebサーバサイドアプリケーションの脆弱性を診断いたします。

 

また、スマートフォンアプリケーション内に潜在する脆弱性も診断対象とします。


1.サーバアプリケーション向け 診断項目
診断項目名 診断概要
強制閲覧

本来公開されるべきでないコンテンツが公開されていないか確認します。

セッションの不適切な取り扱い

セッションの識別子の強度や有効期間に問題がないことを確認します。

SQLインジェクション

データベースに対する想定外の操作を許す脆弱性が存在しないか確認します。

OSコマンドインジェクション

任意のOSコマンド実行を許す脆弱性が存在しないか確認します。

バッファオーバーフロー

バッファ溢れにより、想定外の挙動を引き起こす脆弱性が存在しないか確認します。

HTTPSの使用方法

機微情報の入力画面などで暗号化が適切に行われていない箇所があるか確認します。

パラメータ操作

ディレクトリトラバーサルなどの上記項目に該当しない脆弱性が存在しないか確認します。

その他

既知の脆弱性や過度なシステム情報の公開が存在しないか確認します。

2.スマートフォン端末向け 診断項目
診断項目名 診断概要
パスワードの管理

端末内でのパスワード管理方法について確認します。

端末DBの情報管理

端末内のDBに過度な情報が保存されていないか確認します。

端末内コンテンツの管理

端末内の保護コンテンツが復号・コピー・配布されないか確認します。

受信データの処理方法

端末に対しての不正な応答による影響の有無を確認します。

経路上でのコンテンツ管理

経路上で保護コンテンツが取得されないか確認します。

Androidアプリケーション限定オプション

アプリケーションの
逆コンパイルによる解析

ロジック不備、重要情報の漏洩・不正利用の可能性がない事を確認します。

お問い合わせ

株式会社ユービーセキュア

営業本部

TEL:03-5730-3033 FAX:03-5730-3055

メールでのお問い合わせ >