スマホアプリ診断

スマホアプリ診断は、お客様が作成した スマートフォン向けアプリケーションに対して疑似攻撃を行うことにより、脆弱性を発見し報告するサービスです。 システム構成をヒアリングし、アプリ本体に対しては診断員が手動診断によって検査いたします。APIとの通信部分はWebアプリケーション診断と同様、ツールによる自動診断及び診断員による手動診断を組み合わせることによって網羅的に検査いたします。

お問い合わせ

検査項目例

Android/iOSアプリ共通の検査

SSL証明書検証の不備SSLを用いて通信する際に不適切な証明書が利用可能か検査します。
不適切なパーミッションの使用アプリが不必要に多くの権限を持っていないか検査します。
カスタムスキーマの不適切な使用カスタムスキーマ経由で不適切な動作が行われないか検査します。
デバッグ機能の使用本番向けのビルドでデバッグ機能が利用可能か検査します。
端末の時間変更による制限の迂回端末の時間を変更し、アプリ内の機能の利用制限を迂回できないか検査します。
アプリへの重要情報の埋め込みアプリ内に重要情報が存在していないか検査します。
ストレージへの重要情報の出力端末内に重要情報を出力していないか検査します。
ログへの重要情報の出力ログに重要情報を出力していないか検査します。

Androidアプリ特有の検査

フルバックアップ機能の使用フルバックアップ機能が有効の場合、アプリ内の情報がバックアップされる恐れがあります。
Activityの不適切な使用Activityが外部からintentを受け取った際に、不適切な動作を行わないか検査します。
Serviceの不適切な使用Serviceが外部からintentを受け取った際に、不適切な動作を行わないか検査します。
Content Providerの不適切な使用Content Providerが外部からintentを受け取った際に、不適切な動作を行わないか検査します。
Broadcast Receiverの不適切な使用Broadcast Receiverが外部からデータ操作の要求を受け取った際に、不適切な動作を行わないか検査します。
重要情報のBroadcast他のアプリに重要情報がブロードキャストされていないか検査します。

iOSアプリ特有の検査

ATS(AppTransportSecurity)の使用ATSが有効の場合、安全性に問題のある通信が発生する恐れがあります。

APIとの通信に関する検査

基本診断SQLインジェクションなど、Webアプリケーションへの診断と同様の項目で診断を行います。
お問い合わせ