スマートフォンを世界的に普及させ、いまやその代名詞とも言えるApple社のiPhoneをはじめ、Google社のオープンプラットフォーム組込OS、Androidもスマートフォンにとどまらず多様な分野で活用されています。iOS(iPhone、iPad等のOS)、Androidともに、普及率は年々増大を続けその利用分野は今後ますます広がることが予想されています。
このような状況下で、PCやWebなどの他のシステム同様、スマートフォンにも固有の脆弱性が存在します。iOSを開発するApple社や、Androidを開発するGoogle社が存在を確認し、脆弱性の修正が行われる場合もありますが、特にオープンプラットフォームという特性上、Androidを採用した機器メーカーが独自に行った追加修正に紛れ込んだ脆弱性や、多くのアプリケーション開発会社がiOS用、Android用に独自にリリースするアプリごとの脆弱性もまた多く報告されています。
すでに生活の一部として浸透しつつあるスマートフォンは、個人の持ち物としてだけではなくビジネスの分野でも欠かせないものとなりつつあります。スマートフォンアプリケーションに対するセキュリティの要求は、今後増加することはあっても決して落ち着くことはないでしょう。
MBSDのスマートフォンセキュリティ実績
MBSDでは、スマートフォンセキュリティに関する脆弱性診断や調査に関して多くの実績を積み上げています。その一つの例として、以下の様なAndroid OSに関する調査案件を複数受託しています。
・Android OSに関する脆弱性を発見しIPAとGoogleへ報告
・Androidのセキュリティ課題と対策の調査研究(某研究所様)
・Androidにおけるユーザ識別方法の調査研究(某通信事業者様)
・Android root化/デザリングにおける対策と提言(某通信事業者様)
・難読化に関する調査研究案件を受託
また、Androidセキュリティに関する講演についても、多くの依頼を受けています。
・某エグゼクティブセミナーにてAndroidセキュリティに関する講演を実施
・某電気メーカーS社に対してAndroidセキュリティに関する講演を実施
・某セキュリティカンファレンスにて難読化について講演を実施
MBSDのスマートフォンアプリケーション診断では、アプリケーションが使用するWeb APIの診断に加え、スマートフォンアプリケーションそのものに対する脆弱性診断も実施します。他社診断会社ではスマートフォンに搭載されるアプリケーション観点での診断が殆どであるのが現状です。
スマートフォンアプリケーション固有の脆弱性は携帯電話内の情報漏えい等につながる可能性があり、さらにプリインストールアプリケーションの脆弱性は、最悪の場合端末root化の踏み台として利用される可能性があります。本診断ではそれらの脆弱性を検出し、対策方法を提示します。
また、MBSDのオリジナル診断メニューとして、スマートフォンアプリケーションのビルド前のソース、または逆コンパイルによるソースいずれかを利用する「静的診断」を実施します。この静的診断(ソースコード、逆アセンブル)に加え、より一般的な動的診断についても多数の実績を積み重ねています。
スマートフォンに潜む脆弱性
スマートフォンアプリケーション診断を実施することで、以下の様な脆弱性を見つけ出すことができます。
たとえば、スマートフォン端末に不正なデータを送り込むことでクラッシュさせることが可能です。端末は使用不可能になり、強制的に再起動となります。
また、修正が行われていなかった脆弱性を足がかりに、スマートフォン端末の持つFTPサービスを踏み台として、利用することも可能です。これを悪用すると、スマートフォン端末を経由して全く別のサーバから情報を取得することも可能です。
他にも、他人に勝手に使用されないようにパスワードをしっかりと設定していたとしても、パスワードファイルそのものを、平文で取得可能な場合がありえます。パスワードが流出すると、任意のユーザ名で自由にログインが可能になってしまいます。さらに管理者ユーザとしてログインが可能な場合には、不正にデバイス内のすべてのデータにアクセスすることすら可能となってしまいます。電話番号や住所をはじめ利用しているサービスのパスワードなど、個人情報の塊であるスマートフォン端末にとって、これがいかに危険なことかおわかりいただけると思います。
【主な項目】
・ローカルデータの検証
・暗号化ロジック/方式の検証
・パーミッションの検証
・認証ロジックの検証
・内部情報漏洩の検証