概要
モバイルアプリケーションセキュリティテストは、コード、データストレージ、通信、プラットフォーム連携における脆弱性について、iOSおよびAndroidアプリを評価します。バイナリのリバースエンジニアリングおよび静的解析を、計測機器を備えた端末での動的テストと組み合わせ、OWASP MASVS標準に照らして測定します。モバイルアプリは機微なユーザーデータやビジネスデータを保存しており、安全でないストレージ、APIの悪用、コードの改ざん、リバースエンジニアリングといった脅威の格好の標的となります。セキュリティテストは、攻撃者が悪用する前にこれらの弱点を特定します。
方法論&標準
OWASP MASVS(L1、L2、MASVS-R)、OWASP MASTG、MAS Checklistを用い、バックエンドはOWASP API Top 10に照らしてテストします。ツールにはMobSF、Frida、Objection、Burp Suite、Drozer、JADX、Ghidraが含まれます。
含まれる内容
提供される成果物
よくある質問
はい。コード、ストレージ、プラットフォームAPIが異なるため、各プラットフォームを個別にテストし、アプリが通信するバックエンドAPIも評価したうえで、プラットフォームごとおよび共通の結果を報告します。
はい。コンパイル済みアプリをリバースエンジニアリングすることで、ブラックボックスおよびグレーボックスのテストを実施します。ソースコードとテストビルドは深度と速度を向上させますが、必須ではありません。
L1はすべてのアプリのベースラインです。L2は機微なデータを扱うアプリに多層防御を加え、MASVS-Rはリバースエンジニアリングと改ざんへの耐性を加えます。当社はお客様のリスクに合わせて適切なレベルを設定します。
モバイルアプリは機微なユーザーデータやビジネスデータを扱うことが多くあります。セキュリティテストは、安全でないストレージ、APIの脆弱性、コードの改ざんといった弱点を、悪用される前に特定するのに役立ちます。