セキュリティの脆弱性を見つけるための 12 個のモバイル アプリ スキャナー

モバイルアプリに セキュリティ上の欠陥が あるかどうかをテストし、ビジネスの評判を損なう前に修正​​してください。

モバイルの利用が増加しており、モバイル アプリも増加しています。 Apple App Store には約 200 万のアプリがあり、Google Play には 2.5 のアプリがあります。最新の 調査 によると、iOS アプリの 38% と Android アプリの 43% に高リスクの脆弱性が存在しました。

脆弱性には複数の種類があり、次のような 危険 があります。

• ユーザーの個人機密データ (電子メール、認証情報、IMEI、GPS、MAC アドレス) がネットワーク経由で漏洩する
• 暗号化をほとんどまたはまったく行わないネットワーク上の通信
• 世界中で読み取り/書き込み可能なファイルを持つ
• 任意のコードの実行
• マルウェア

あなたが所有者または開発者である場合は、モバイル アプリを保護するために必要なことはすべて行う必要があります。

Web サイト用のセキュリティ脆弱性スキャナーはたくさんあります。以下はモバイル アプリのセキュリティ上の欠陥を見つけるのに役立ちます。

この投稿で使用されている略語の一部。

• APK – Android パッケージ キット
• IPA – iPhone アプリケーションのアーカイブ
• IMEI – 国際的なモバイル機器の ID
• GPS – 全地球測位システム
• MAC – メディアアクセス制御
• API – アプリケーション プログラミング インターフェイス
• OWASP – オープン Web アプリケーション セキュリティ プロジェクト

アプリレイ

App-Ray のセキュリティ スキャナーを使用して脆弱性を防ぎます。未知のソースからのモバイル アプリケーションをチェックし、EMM-MDM/MAM との統合により評価を提供します。スキャナーは、データに損害を与える前に脅威を検出し、悪意のあるアプリのインストールを防ぎます。

アプリケーションを構築する際に、脆弱性分析と統合します。 REST API を使用すると、分析を自動的かつエレガントに実行できます。問題が検出された場合にアクションをトリガーして、潜在的なリスクを防ぐこともできます。

高度な軍事グレードのテクノロジーを活用して、データをマッピングし、暗号化通信を含むネットワーク トラフィックを分析します。

App-Ray は、静的分析、動的分析、動作ベースの分析など、複数の分析手法を採用しています。静的コード分析は、コーディングの問題、暗号化関連の問題、データ漏洩、およびデバッグ対策技術に使用されます。

同様に、機器による未変更のテスト、通信ファイルへのアクセスなどに対して、動的な動作ベースの分析が行われます。

App-Ray は iOS および Android プラットフォームをサポートしています。スキャンが完了すると、すべての技術的な詳細が表示され、PCAP ファイルなどの必要なファイルをダウンロードできます。

アストラ・ペンテスト

Astra Pentest を使用して Android および iOS アプリケーションのセキュリティの弱点をスキャンして修正し、あらゆる種類の脆弱性の悪用、ハッキングの試み、またはデータ侵害からアプリケーションを保護します。

Astra の包括的なハッカー スタイルの脆弱性スキャナー、自動および手動の侵入テスト ソリューションは、テストを実行する際に、以下を含むモバイル アプリケーションのパラメーターのあらゆる側面を考慮します。

• 建築とデザイン
• ネットワーク通信とデータ処理
• データストレージとプライバシー
• 認証とセッション管理
• コードまたはビルド設定の構成ミスエラー

Astra の絶えず進化する脆弱性侵入プラットフォームは、脆弱性の検出を支援するために 8000 以上のテスト ケースを実行します。絶えず進化するダッシュボードは、ハッキングや CVE に関する新しい情報を使用して、API、ビジネス ロジック、支払いゲートウェイなどのモバイル アプリケーションの重要なコンポーネントをスキャンします。

成文化されたセキュリティ

Codified を 使用してセキュリティ問題を検出し、迅速に修正します。アプリコードをアップロードし、スキャナーを使用してテストするだけです。セキュリティリスクを強調した詳細なレポートを提供します。

Codified はセルフサービスのセキュリティ スキャナーです。これは、アプリのファイルをそのプラットフォームにアップロードする必要があることを意味します。配信サイクルとシームレスに統合できます。静的分析エンジンのルールを作成し、コンプライアンス レベルを設定することもできます。

彼らのセキュリティ レポートは専門的であり、モバイル アプリに関連するすべてのリスクについて明確な詳細を強調しています。また、セキュリティ侵害を防ぐために実行できる適用可能なアクションのリストも表示されます。

Codified は IPA と APK のアップロードをサポートしています。これにより、静的、動的、およびサードパーティのライブラリのテストが容易になります。

さらに、Codified は Phonegap、Xamarin、および Hockey アプリと統合し、Java、Swift、および Objective-C アプリケーションもサポートします。

モバイルセキュリティフレームワーク

自動化されたオールインワンのモバイル アプリ – Mobile Security Framework ( MobSF ) は、Windows、iOS、Android デバイスで使用できます。

このアプリは、マルウェア分析、侵入テスト、セキュリティ評価などに使用できます。静的分析と動的分析の両方を実行できます。

MobSF は REST API を提供するため、DevSecOps パイプラインまたは CI/CD をシームレスに統合できます。 ZIP 形式のソース コードに加えて、IPA、APK、APPX などのモバイル アプリケーション バイナリもサポートされています。動的アナライザーを使用すると、ランタイム セキュリティの評価やインストルメント化されたテストを実行できます。

デクスカリバー

Dexcalibur は 、計測の自動化に焦点を当てたリバース エンジニアリング Android スキャナーです。

Dexcalibur の目的は、次のような動的計測に関連する退屈なタスクをすべて自動化することです。

• 面白いものや引っ掛けるパターンを探しています
• dex ファイル、クラスローダー、呼び出されたメソッドなど、フックが収集するデータを処理します。
• インターセプトしたバイトコードを逆コンパイルする
• フックコードを書く
• フックメッセージを管理する

Dexcalibur の静的解析エンジンは、部分的な小さな部分を実行することもできます。その目的は、実行された関数をレンダリングすることです。また、呼び出しスタックの深さまたは構成値に基づいて、どの関数を実行できるかをレンダリングすることもできます。役に立たない不透明な述語と goto 述語を削除することで、よりクリーンなバイトコード バージョンを読み取ることができます。

スタコアン

StaCoAn は、開発者、倫理的ハッカー、バグ賞金稼ぎがモバイル アプリケーションの静的コード分析を実行するのに役立つ優れたツールです。このクロスプラットフォーム ツールは、API キー、API URL、ハードコードされた認証情報、復号化キー、コーディング エラーなどを含むコードに記述された行を分析します。

このツールの作成の背後にある目的は、ユーザー インターフェイスでより優れたグラフィカル ガイダンスと使いやすさを提供することでした。現在、StaCoAn は APK ファイルのみをサポートしていますが、IPA ファイルも間もなく利用可能になる予定です。

ご想像のとおり、これはオープンソースです。

StaCoAn にはモバイル アプリ ファイルのドラッグ アンド ドロップ機能が含まれているため、ポータブルで視覚的なレポートを生成できます。より良いエクスペリエンスを得るために、単語リストと設定をカスタマイズすることもできます。これらのレポートは、逆コンパイルされたアプリケーションから簡単に参照できます。

「戦利品機能」を利用すると、貴重な発見物をブックマークすることができます。提供されたページですべての結果を表示することもできます。

StaCoAn は、Java、js、XML、HTML ファイルなどのさまざまなファイル タイプをサポートします。そのデータベースには、キーワードのデータベース ファイルを検索できるテーブル ビューアが付属しています。

ランタイムモバイルセキュリティ

Runtime Mobile Security ( RMS ) の強力なインターフェイスは、実行時の iOS および Android アプリケーションの操作に役立ちます。ここでは、すべてをすぐにフックし、ロードされたクラスをダンプし、メソッド引数をトレースし、カスタム スクリプトなどを含む値を返すことができます。

現時点では、RMS は macOS でテストされており、iPhone 7、Web インターフェイス Chrome、Amazon Fire Stick 4K、AVD エミュレータなどのデバイスをサポートしています。若干の調整を加えれば Linux と Windows をサポートする可能性があります。

APIモニターを使用すると、20種類に分類された複数のAndroid APIを監視できます。 JSON ファイルに追加のメソッドやクラスを追加することでサポートを拡張したり、開く、閉じる、書き込み、読み取り、削除、リンク解除などのネイティブ関数をチェックすることもできます。

ファイル マネージャーが含まれているため、アプリケーションのプライベート ファイルを探索したり、必要に応じてダウンロードしたりできます。

オスターラブ

Ostorlab では、Android または iOS アプリをスキャンし、検出結果に関する詳細情報を提供します。

APK または IPA アプリケーション ファイルをアップロードすると、数分以内にセキュリティ スキャン レポートが作成されます。

クィクシー

Quixxi は、モバイル分析、モバイルアプリの保護、収益損失の回復の提供に重点を置いています。 脆弱性テスト を実行したいだけの場合は、 Android または iOS アプリケーション ファイルをここに アップロードできます。

スキャンには数分かかる場合があります。スキャンが完了すると、脆弱性レポートの概要が表示されます。

ただし、 包括的なレポート をお探しの場合は、Web サイトで無料登録する必要があります。

サンドドロイド

SandDroid は静的および動的分析を実行し、包括的なレポートを提供します。最大 50 MB の APK ファイルまたは zip ファイルをアップロードできます。

SandDroid は、ボットネット研究チームと西安交通大学によって開発されました。現在、以下のチェックを行っています。

• ファイルサイズ/ハッシュ、SDKバージョン
• ネットワーク データ、コンポーネント、コード機能、機密性の高い API、IP 分布分析
• データ漏洩、SMS、通話監視
• リスク行動とスコア

クアーク

LinkedIn の QARK (Quick Android Review Kit) は、ソース コードやパッケージ ファイル内の Android のいくつかの脆弱性を見つけるのに役立ちます。

QARK は無料で使用でき、インストールするには Python 2.7 以降、JRE 1.6/1.7 以降が必要で、OSX/RHEL 6.6 でテストされています。

次の脆弱性の一部は QARK によって検出可能です。

• タップジャック
• 不適切な x.509 証明書の検証
• 盗聴
• ソースコード内の秘密キー
• 悪用可能な WebView 構成
• 古い API バージョン
• データ漏洩の可能性
• などなど…

イミュニウェブ

ImmuniWeb によるオンライン Android および iOS アプリ スキャナーは、OWASP モバイル トップ 10 の脆弱性に対するテスト アプリケーションです。

静的および動的セキュリティ テストを実行し、実用的なレポートを提供します。

詳細な分析結果を記載したレポートをPDF形式でダウンロードできます。

結論

上記の脆弱性スキャナーが モバイル アプリケーションのセキュリティ をチェックし、発見された点を修正できるようになれば幸いです。セキュリティの専門家であれば、 モバイル侵入テストの学習 に興味があるかもしれません。モバイルのセキュリティを向上させるための 8 つのヒントを紹介します。