スマートフォンアプリケーション脆弱性診断サービス

モバイルデバイスを危機にさらすアプリケーション

様々な機微情報が詰まったモバイルデバイスは、攻撃者にとって魅力的なターゲットです。
脆弱性のあるアプリケーションを経由し情報を取得する、無害を装ったマルウェアも存在します。電話帳アプリが電話帳データにアクセスするのは当然のことですが、取得したデータを他のアプリに無制限に提供する状態になっていた場合、そのアプリケーションを利用して、マルウェアが電話帳データを入手できます。この電話帳アプリには脆弱性があることになります。
このように機微情報を含むデバイスにインストールするアプリに脆弱性があると、お客様の情報を危機にさらすことになります。

スマートフォンアプリケーション脆弱性診断サービス

テクマトリックスが提供するスマートフォンアプリケーション脆弱性診断サービスは、スマートフォン向けアプリケーション(Android/iOS)に存在する脆弱性を発見するサービスです。APK/IPAファイルをご提供いただき、弊社エキスパートによる診断を実施いたします。診断後に、診断結果についてお客様への報告会を実施します。

プラン一覧

  ライト スタンダード
価格 ¥800,000~ ¥1,400,000~
診断手法 静的セキュリティ解析
APKファイルまたはIPAファイルの解析による基本的な構成の問題や設定ファイルの確認、リバースエンジニアリングによる重要情報の漏洩などを調査します。
静的+動的セキュリティ解析
静的セキュリティ解析に加え、端末にインストールしたスマホアプリを操作して実際の通信の内容やアプリの挙動、端末内のデータなどを調査します。
診断推奨アプリ 機密情報を保持しないアプリ
( ニュースアプリ、検索アプリなど )
機密情報を保持しているアプリ
診断基準
MASVS準拠
*OWASPで策定された国際的な基準 
CVSSに基づく
リスク評価
あり 
再診断 別途ご相談 
納期 7営業日~ 12営業日~

主な診断項目

  診断項目 確認内容 ライト スタンダード
通信 通信プロトコルの確認 HTTPS通信の許可
脆弱な暗号化方式の利用 暗号スイートの強度
サーバ証明書の不備 サーバ証明書の検証状況
HTTP通信による重要情報送信 平文による重要情報の送信状況
WebViewを通じたアプリ乗っ取り DeepLinkの検証
アプリ
解析
リバースエンジニアリング による脆弱性解析 リバースエンジニアリングによる脆弱性の解析/重要情報の漏えいの可能性
マニフェストファイルの設定 Manifestファイルの設定内容
コンポーネントの公開設定不備 アプリケーション間連携における各コンポーネントの公開設定
Root検知 root化/jailbreak検知機能のチェック  
端末内
データ格納  
端末内データの漏洩 端末内のファイル(Database,Preference等含む)に機密情報を平文保存していないことを検証  
スクリーンショット アプリスナップショット保存防止機能を検証  
SDカードへの機密情報の出力 他アプリからアクセス可能なSDカード内へ機密情報の保存を検証  
パーミッションの設定不備 機密情報を含むファイルが他アプリからアクセスできるパーミッションになっていないことを検証
ログの出力内容 ログへの機密情報の出力  
バックアップ操作による情報抽出 バックアップ攻撃による機密情報の窃取可否等を検証
秘密情報の埋め込み 公開鍵暗号方式における秘密鍵等の埋め込むべきでない情報が埋め込まれているか検証

サービスの流れ

スマートフォンアプリケーション脆弱性診断サービスの流れ

診断結果報告書

脆弱性の内容だけでなく、リスクの分析、対策の優先度を踏まえた形で作成した診断結果報告書を納品します。

スマートフォンアプリケーション脆弱性診断サービス 診断結果報告書

定期診断/チケット診断

個別の診断だけでなく、定期的な診断やチケット制での診断もご用意しております。

脆弱性診断サービスに
関するお問い合わせ

  • テクマトリックス株式会社
    東京本社

    ネットワークセキュリティ事業部
    第3営業部
    セキュリティプロダクツ営業2課

    03-4405-7814

メールでのお問い合わせ
watchfire@techmatrix.co.jp

お問い合わせ

製品についてやテクマトリックスについてなど、
こちらよりお気軽にお問い合わせいただけます。