モバイルアプリケーションのセキュリティシステムに脆弱性がないか確認し、評判を損なう前に修正してください。
NowSecureの最近の調査によると、モバイルアプリケーションの25%以上に、少なくとも1つの非常に危険な脆弱性があります。
金融 Androidアプリケーションの59%には 、OWASPのトップ10リストから3つの脆弱性があります。
携帯電話を使用すればするほど、より多くのモバイルアプリケーションが表示されます。 Apple App Storeには200万を超えるアプリケーションがあり、Google Playストアには220万を超えるアプリケーションがあります。
脆弱性には多くの種類がありますが、最も重要な脆弱性は次のとおりです。
- ネットワーク上の個人または機密のユーザー情報の漏洩(電子メール、資格情報、IMEI、GPS、MACアドレス);
- 暗号化なしまたは暗号化が不十分なネットワーク上の情報交換。
- ファイルは、誰でも読み書きできます。
- 任意のコードの実行。
- マルウェア。
あなたがアプリケーションの所有者または開発者である場合、モバイルアプリケーションのセキュリティを確保するためにすべてを行う必要があります。 ウェブサイトの脆弱性を見つけるためのツールは数多くあります。以下の情報は、モバイルアプリケーションのセキュリティシステムの弱点を見つけるのに役立ちます。
この記事では次の略語が使用されています。
- APK-Androidアプリケーションのアーカイブファイル形式(英語のAndroidパッケージキット);
- IPA-iPhone用のアーカイブされたアプリケーションファイルの形式(英語のiPhoneアプリケーションアーカイブ)。
- IMEI-国際モバイル機器識別;
- GPS-全地球測位システム;
- MAC-メディアアクセス制御。
- API-アプリケーションプログラミングインターフェイス。
- OWASPは、オープンなWebアプリケーションセキュリティプロジェクトです。
AndroidまたはiOSアプリケーションの脆弱性を見つけるためのツール:
1.オストララブ
Ostorlabでは 、AndroidまたはiOSでアプリケーションをテストし、スキャンの結果に関する詳細なレポートを取得できます。 APKまたはIPA形式のアプリケーションファイルをダウンロードすると、数分後にセキュリティレポートの準備が整います。
確認のためにダウンロードするための最大ファイルサイズは60 Mbです。 それでも、アプリケーションのサイズが60 MBを超える場合は、Ostorlabのスペシャリストに連絡して、APIリクエストを介してファイルを配置できます。
AndroguardやRadare2などのオープンソースソフトウェアに基づいています。 Ostorlabでモバイルアプリケーションを無料で確認することをお勧めします。
2. Appvigil
Appvigilを使用してモバイルアプリケーションのセキュリティシステムのすべてのギャップを見つけ、数分で詳細な脆弱性レポートを取得します。
Appvigilを使用すると、起こりうる脅威の説明だけでなく、問題の迅速な解決のために脆弱性を修正するための推奨事項も受け取ることができます。 すべてがAppvigilクラウドで処理されるため、プログラムをインストールする必要はありません。
APKまたはIPAファイルをダウンロードした後、 OWASPトップ10リストからの脆弱性の存在を含む、アプリケーション(Android / iOS)の静的および動的分析が実行されます。
3. Quixxi
Quixxiは 、モバイル分析を提供し、モバイルアプリケーションを保護し、潜在的な収益を回復するように設計されています。 アプリケーションの脆弱性を確認する必要がある場合は、 ここからAndroidまたはiOSアプリケーションファイルをダウンロードします 。
確認には数分かかります。 チェックを完了すると、脆弱性に関する簡単なレポートが表示されます。 完全なレポートが必要な場合は、サイトに登録する必要があります。 無料です。
4. AndroTotal
名前が示すように、 AndroTotalは Androidのアプリケーションでの作業にのみ適しています。 AndroTotalは、APKファイルのウイルスと悪意のあるコードをチェックし、次のウイルス対策プログラムの結果をチェックします。
- マカフィー
- TrustGo;
- ESET
- コモド;
- AVG;
- アビラ
- ビットディフェンダー
- Qihoo。
APKファイルのウイルスをすばやくチェックする必要がある場合は、AndroTotalが最適なソリューションです。
5.アカナ
Akanaは、Android用のインタラクティブなアプリ分析ツールです。 Akanaは悪意のあるコードがないかアプリケーションをチェックし、結果に関する情報を表示します。
チェックは無料なので、Androidアプリケーションに悪意のあるコードがあるかどうか試してみてください。
6. NVISO
Nviso APKSCANは、アプリケーションの悪意のあるコードをチェックするためのもう1つの便利なネットワークツールです。 結果はすぐに準備ができていない場合があります。キュー内の場所によって異なります。 レポートの準備ができたら、メールを残して通知を受け取ることができます。
Nvisoを使用してアプリケーションのレイアウトを確認したところ、以下が確認されていることがわかりました。
- ディスクアクティビティ。
- ウイルススキャン;
- ネットワークトラフィック;
- 電話をかけ、SMSを送信する機能。
- 暗号化アクティビティ。
- データ漏洩。
7. SandDroid
SandDroidは静的および動的分析を実行し、完全なレポートを生成します。 サイズが50 MB以下のAPKファイルまたはzipファイルをダウンロードできます。
SandDroidは、ボットネットおよび西安交通大学の研究グループによって開発されました。 以下が検証されます。
- ファイルサイズ/ハッシュ、SDKバージョン。
- ネットワークデータ、コンポーネント、エンコードされたプロパティ、脆弱なAPI、IP分析。
- データ漏洩、SMS、通話の追跡。
- 脅迫的な行動と脅威の可能性。
レポートをリクエストし、アプリケーションのセキュリティを評価します。
脆弱性チェックツールが、モバイルアプリケーションのセキュリティをチェックし、見つかった問題を修正するのに役立つことを願っています。
自分のサイトがある場合は、サイトの脆弱性を自動的にチェックする機能に関心があるかもしれません。
Hosting Cafeで仮想サーバーと共有ホスティングを検索する可能性にも興味があることを願っています。