スマートフォンアプリケーションおよび、サーバにおけるセキュリティ上の問題点を診断・指摘
企業で業務用スマートフォンの導入が進む一方で、セキュリティ対策が不十分なアプリケーションが問題となっています。アプリケーションそのものにマルウェアが仕込まれていたり、不適切なセキュリティ設定などによるスマートフォンの乗っ取りや、機密情報の抜き取りが後を絶ちません。問題を未然に防ぐためには、適切な対策を講じることが不可欠です。
内容
本サービスでは、スマートフォン端末内で動作するアプリケーションを実際に操作することで、生成されたファイルや通信などに対して診断を実施します。診断手段として、送出される通信や設定ファイルを分析・調査、他のアプリケーションからの情報へのアクセス可否の調査などを行います。また、本診断サービスは以下のような特徴を持ちます。
- JSSECのセキュアコーディングガイドやOWASPMobileTop10に基づきセキュリティ診断サービスを実施
- リバースエンジニアリングによるアプリの挙動解析
- 診断後のセキュリティ強度評価や該当するリスク対策についてもレポート
メリット
スマホアプリの問題点やリスクを認識することで、インシデント発生時に適切な対応を迅速に行えます。また、脆弱性診断の専門企業へセキュリティ診断を依頼・実施することにより、アプリの付加価値を高めることが出来ます。
解析ステップ
主な診断項目
スマートフォンアプリケーション(クライアントサイド)
- ソースコードの難読化
- コンテンツの暗号化
- Swizzling Attack対策
- チェックサムによるアプリ改造の検出
- 改造アプリの自己修復
- 改造アプリの自動終了
- 改造アプリへの警告ダイアログ
- Jailbreak/Rootingの検出
- デバッグモードを検出
- アプリケーションコード暗号化解除ツールの検出
- 認証関係の不備
- アプリケーションの設定不備
オプション
- スマートアプリケーション ソースコードレビュー
- スマートフォンアプリケーション 端末診断