モバイルデバイスを危機にさらすアプリケーション

様々な機微情報が詰まったモバイルデバイスは、攻撃者にとって魅力的なターゲットです。
脆弱性のあるアプリケーションを経由し情報を取得する、無害を装ったマルウェアも存在します。電話帳アプリが電話帳データにアクセスするのは当然のことですが、取得したデータを他のアプリに無制限に提供する状態になっていた場合、そのアプリケーションを利用して、マルウェアが電話帳データを入手できます。この電話帳アプリには脆弱性があることになります。
このように機微情報を含むデバイスにインストールするアプリに脆弱性があると、お客様の情報を危機にさらすことになります。

モバイルアプリケーション脆弱性診断サービス

テクマトリックスが提供するモバイルアプリケーション脆弱性診断サービスは、スマートフォン向けアプリケーション(Android/iOS)に存在する脆弱性を発見するサービスです。アプリケーション(Android/iOS)のソースコードをご提供いただき、弊社エキスパートによる診断を実施します。診断後に、診断結果についてお客様への報告会を実施します。

診断項目の一例

	項目	解説
通信に関する問題	SSL通信の不備	証明書検証の不備や脆弱な暗号化スイートの利用を検出します。
データの取り扱い	ファイルパーミッションの不備	ファイルのアクセス権を他のアプリケーションに与えていないか確認します。
	ログへの機密情報の出力	機密情報がログとして出力されないか確認します。
	入力情報のキャッシュ・漏洩	入力した機密情報をキャッシュしたり、コピー&ペーストできないか確認します。
	認証情報の保護に関する問題	認証情報の保存や維持に不備がないか確認します。
	アプリケーション連携による情報漏洩	アプリケーション間通信の制御に不備がないか確認します。
	バックアップによる情報漏洩	バックアップに認証情報などの機密情報が含まれていないか確認します。
アプリケーション コードの問題	暗号鍵の管理の問題	暗号鍵がハードコードされていたり、他のアプリケーションからアクセス可能な場所に保存していないか確認します。
	弱い暗号方式の利用	弱い暗号方式を使用していないか確認します。
	推測可能な乱数	暗号処理などで推測可能な乱数を使用していないか確認します。
	インジェクション	XSSやSQLインジェクションなどインジェクション攻撃が成立するか確認します。

サービスの流れ

①ソースコード提供

対象アプリケーション(Android/iOS)のソースコードをご提供いただきます。

②診断実施

提供いただいたソースコードに対し、脆弱性の有無を確認します。

③診断報告書作成

発見された脆弱性の影響度、被害の与えやすさを考慮し、脆弱性の危険度を判定し、報告書を作成します。

④報告会

作成した報告書をベースに報告会を行い、各種対策のためのアドバイスや診断結果に対するQAを実施します。 (QAは報告後1ヵ月までサポートします)

診断結果報告書

脆弱性の内容だけでなく、リスクの分析、対策の優先度を踏まえた形で作成した診断結果報告書を納品します。

定期診断/チケット診断

個別の診断だけでなく、定期的な診断やチケット制での診断もご用意しております。