モバイルデバイスを危機にさらすアプリケーション

様々な機微情報が詰まったモバイルデバイスは、攻撃者にとって魅力的なターゲットです。
脆弱性のあるアプリケーションを経由し情報を取得する、無害を装ったマルウェアも存在します。電話帳アプリが電話帳データにアクセスするのは当然のことですが、取得したデータを他のアプリに無制限に提供する状態になっていた場合、そのアプリケーションを利用して、マルウェアが電話帳データを入手できます。この電話帳アプリには脆弱性があることになります。
このように機微情報を含むデバイスにインストールするアプリに脆弱性があると、お客様の情報を危機にさらすことになります。

スマートフォンアプリケーション脆弱性診断サービス

テクマトリックスが提供するスマートフォンアプリケーション脆弱性診断サービスは、スマートフォン向けアプリケーション(Android/iOS)に存在する脆弱性を発見するサービスです。APK/IPAファイルをご提供いただき、弊社エキスパートによる診断を実施いたします。診断後に、診断結果についてお客様への報告会を実施します。

プラン一覧

	ライト	スタンダード
価格	￥800,000～	￥1,400,000～
診断手法	静的セキュリティ解析 APKファイルまたはIPAファイルの解析による基本的な構成の問題や設定ファイルの確認、リバースエンジニアリングによる重要情報の漏洩などを調査します。	静的＋動的セキュリティ解析 静的セキュリティ解析に加え、端末にインストールしたスマホアプリを操作して実際の通信の内容やアプリの挙動、端末内のデータなどを調査します。
診断推奨アプリ	機密情報を保持しないアプリ ( ニュースアプリ、検索アプリなど )	機密情報を保持しているアプリ
診断基準	MASVS準拠 *OWASPで策定された国際的な基準
CVSSに基づく リスク評価	あり
再診断	別途ご相談
納期	7営業日～	12営業日～

主な診断項目

	診断項目	確認内容	ライト	スタンダード
通信	通信プロトコルの確認	HTTPS通信の許可	○	○
	脆弱な暗号化方式の利用	暗号スイートの強度	○	○
	サーバ証明書の不備	サーバ証明書の検証状況	○	○
	HTTP通信による重要情報送信	平文による重要情報の送信状況	○	○
	WebViewを通じたアプリ乗っ取り	DeepLinkの検証	○	○
アプリ 解析	リバースエンジニアリング による脆弱性解析	リバースエンジニアリングによる脆弱性の解析／重要情報の漏えいの可能性	○	○
	マニフェストファイルの設定	Manifestファイルの設定内容	○	○
	コンポーネントの公開設定不備	アプリケーション間連携における各コンポーネントの公開設定	○	○
	Root検知	root化/jailbreak検知機能のチェック		○
端末内 データ格納	端末内データの漏洩	端末内のファイル（Database,Preference等含む）に機密情報を平文保存していないことを検証		○
	スクリーンショット	アプリスナップショット保存防止機能を検証		○
	SDカードへの機密情報の出力	他アプリからアクセス可能なSDカード内へ機密情報の保存を検証		○
	パーミッションの設定不備	機密情報を含むファイルが他アプリからアクセスできるパーミッションになっていないことを検証	○	○
	ログの出力内容	ログへの機密情報の出力		○
	バックアップ操作による情報抽出	バックアップ攻撃による機密情報の窃取可否等を検証	○	○
	秘密情報の埋め込み	公開鍵暗号方式における秘密鍵等の埋め込むべきでない情報が埋め込まれているか検証	○	○

サービスの流れ

診断結果報告書

脆弱性の内容だけでなく、リスクの分析、対策の優先度を踏まえた形で作成した診断結果報告書を納品します。

定期診断/チケット診断

個別の診断だけでなく、定期的な診断やチケット制での診断もご用意しております。