スマートフォンアプリケーション脆弱性診断

サービス概要

スマートフォンアプリケーション診断では、パッケージファイルの解析やアプリが利用するAPIに対する脆弱性診断を実施します。 診断には、経験豊富な診断員による手作業による診断と、ツールによる補助的な診断を併用することにより精度の高い診断結果を提供します。 また診断終了後、発見された脆弱性に関する詳細なレポートを作成し、再現手順や脆弱性への対策について委細の報告を行います。

security-mobile-img

脆弱性診断のフロー

  • STEP 01
    診断事前準備

    お客様からの連絡をもとに、アプリケーションのシステム把握や診断対象の範囲、診断方針を検討します。 その後お見積書を送付します。
    ※ 秘密保持契約が必要な場合はお見積前に締結します。

  • STEP 02
    契約手続きと診断日時の調整

    診断日時の調整と契約手続きをします。

  • STEP 03
    診断実施

    ゲヒルンでは、手動診断を主とし、ツール診断は補助として診断を実施しています。攻撃者の観点から独自の手法でツールだけでは発見することができない脆弱性についても見つけ出します。

  • STEP 04
    脅威分析と報告書の作成

    ゲヒルンの診断員による専門的な知見から脆弱性のリスクの深刻度を判定し、具体的なシナリオを仮説して脆弱性からどんな問題が引き起こされるのかを報告書にまとめます。お客様に報告書を提出後、お客様でソフトウェアの改修をするかどうかを判断いただき、改修後に再診断を実施します。

スマートフォンアプリケーション脆弱性診断項目

Android

アプリケーション分析 アプリケーションパッケージ分析 パッケージ内に機微な情報や不要な情報が含まれていないか確認します。
Manifestファイルと要求パーミッション AndroidManifest.xmlで定義された設定に対して、不適切な設定や不要な要求パーミッションがないか確認します。
アクティビティの不正利用 外部アプリケーションによるアクティビティの不正利用や、対象アプリケーションの発行するインテントに機微な情報が含まれていないかなどを確認します。
ブロードキャストレシーバの不正利用 外部アプリケーションから利用可能なブロードキャストレシーバに対してインテントを発行し、不正利用できないかなどを確認します。
コンテントプロバイダの不正利用 外部アプリケーションから利用可能なコンテントプロバイダに対して、データの漏えい・改ざんや不正なデータ挿入、不正な操作などにつながらないか確認します。
サービスの不正利用 外部から利用可能なサービスをstartしたり、インテントを発行したりすることで、不正な操作ができないかを確認します。
データベース 対象アプリケーションでデータベースが使用されている際に、SQLインジェクションなどの脆弱性がないか確認します。
ファイル管理 端末内のファイルを読み書きする際に適切な手法を用いているか、設定されたパーミッションが適切か、適切なAPIを使用しているか、機微な情報を暗号化しているかなどについて確認します。
外部ストレージ SDカードに保存されるファイルに機微な情報が含まれていないか確認します。
システムログ システムログに対して不適切な情報を出力していないか確認します。
WebView 外部の信頼できないコンテンツをWebView内に表示させることができるか、不正な処理の実行に繋がらないか、WebViewに表示しているコンテンツにDOM Based XSSなどの脆弱性がないか確認します。
暗号・ハッシュ 使用している暗号化・ハッシュ化のアルゴリズムが適切か、鍵情報が適切に管理されているか等について確認します。
ネットワーク&サーバーサイド分析 通信及び通信経路上のセキュリティ (HTTP) 通信経路上で、適切な暗号化や証明書の検証を行っているか確認します。
サーバサイドセキュリティ 対象アプリケーションがおこなうHTTPやWebSocketなどの通信について解析・改ざんし、サーバサイドにおける一般的な脆弱性が存在しないか検証します。
自動解析ツールによる解析 手動での解析と併用して、自動解析ツールによる対象アプリケーションのパッケージファイルの解析を行います。
その他
※依頼があった場合にはこちらの項目も診断対象として対応します。
決済
通信 (独自プロトコルの解析)
ローカル環境におけるチート
著作権保護

iOS(iPhone)

アプリケーション分析 アプリケーションパッケージ分析 パッケージ内に機微な情報や不要な情報が含まれていないか確認します。
マルチタスク関連機能分析 アプリケーションがバックグラウンドへ移行した際やクラッシュした際の挙動を利用し、情報の漏えいに繋がることがないか確認します。
URLスキーム Custom URL SchemeやUniversal Linksを経由した不正な操作や、情報漏えいの可能性について確認します。
データベース 対象アプリケーションでデータベースが使用されている際に、SQLインジェクションなどの脆弱性がないか確認します。
ファイル管理 端末内のファイルを読み書きする際に適切な手法を用いているか、適切なAPIを使用しているか、機微な情報を暗号化しているかなどについて確認します。
システムログ システムログに対して不適切な情報を出力していないか確認します。
WebView 外部の信頼できないコンテンツをWebView内に表示させることができるか、不正な処理の実行に繋がらないか、WebViewに表示しているコンテンツにDOM Based XSSなどの脆弱性がないか確認します。
暗号・ハッシュ 使用している暗号化・ハッシュ化のアルゴリズムが適切か、鍵情報が適切に管理されているか等について確認します。
ネットワーク&サーバーサイド分析 通信及び通信経路上のセキュリティ (HTTP) 通信経路上で、適切な暗号化や証明書の検証を行っているか確認します。
サーバサイドセキュリティ 対象アプリケーションがおこなうHTTPやWebSocketなどの通信について解析・改ざんし、サーバサイドにおける一般的な脆弱性が存在しないか検証します。
自動解析ツールによる解析 手動での解析と併用して、自動解析ツールによる対象アプリケーションのパッケージファイルの解析を行います。
その他
※依頼があった場合にはこちらの項目も診断対象として対応します。
決済
通信 (独自プロトコルの解析)
ローカル環境におけるチート
著作権保護

お問い合わせ

詳細やお見積についてはお問い合わせください。