スマホアプリ診断
スマホアプリ診断は、お客様が作成した スマートフォン向けアプリケーションに対して疑似攻撃を行うことにより、脆弱性を発見し報告するサービスです。 システム構成をヒアリングし、アプリ本体に対しては診断員が手動診断によって検査いたします。APIとの通信部分はWebアプリケーション診断と同様、ツールによる自動診断及び診断員による手動診断を組み合わせることによって網羅的に検査いたします。
お問い合わせ
検査項目例
Android/iOSアプリ共通の検査
| SSL証明書検証の不備 | SSLを用いて通信する際に不適切な証明書が利用可能か検査します。 |
| 不適切なパーミッションの使用 | アプリが不必要に多くの権限を持っていないか検査します。 |
| カスタムスキーマの不適切な使用 | カスタムスキーマ経由で不適切な動作が行われないか検査します。 |
| デバッグ機能の使用 | 本番向けのビルドでデバッグ機能が利用可能か検査します。 |
| 端末の時間変更による制限の迂回 | 端末の時間を変更し、アプリ内の機能の利用制限を迂回できないか検査します。 |
| アプリへの重要情報の埋め込み | アプリ内に重要情報が存在していないか検査します。 |
| ストレージへの重要情報の出力 | 端末内に重要情報を出力していないか検査します。 |
| ログへの重要情報の出力 | ログに重要情報を出力していないか検査します。 |
Androidアプリ特有の検査
| フルバックアップ機能の使用 | フルバックアップ機能が有効の場合、アプリ内の情報がバックアップされる恐れがあります。 |
| Activityの不適切な使用 | Activityが外部からintentを受け取った際に、不適切な動作を行わないか検査します。 |
| Serviceの不適切な使用 | Serviceが外部からintentを受け取った際に、不適切な動作を行わないか検査します。 |
| Content Providerの不適切な使用 | Content Providerが外部からintentを受け取った際に、不適切な動作を行わないか検査します。 |
| Broadcast Receiverの不適切な使用 | Broadcast Receiverが外部からデータ操作の要求を受け取った際に、不適切な動作を行わないか検査します。 |
| 重要情報のBroadcast | 他のアプリに重要情報がブロードキャストされていないか検査します。 |
iOSアプリ特有の検査
| ATS(AppTransportSecurity)の使用 | ATSが有効の場合、安全性に問題のある通信が発生する恐れがあります。 |
APIとの通信に関する検査
| 基本診断 | SQLインジェクションなど、Webアプリケーションへの診断と同様の項目で診断を行います。 |