検出項目
項目基準
リスクファインダーはアプリに対して500項目以上のチェックを行い、脆弱性やセキュリティに関する問題点を検出します。
Androidアプリのセキュリティについて現時点で発信されている情報を網羅しています。
Android Security
安全なアプリケーションを作成するために
タオソフトウェア株式会社著 インプレスジャパン株式会社発行
IPAテクニカルウォッチ
「Androidアプリの脆弱性」に関するレポート
独立行政法人情報処理推進機構
Androidアプリのセキュア設計・セキュアコーディングガイド
一般社団法人日本スマートフォンセキュリティ協会 セキュアコーディンググループ
スマートフォン プライバシー イニシアティブ
総務省 利用者視点を踏まえたICTサービスに係る諸問題に関する研究会
Androidアプリの脆弱性の学習・点検ツール「AnCoLe」
独立行政法人情報処理推進機構 開発協力 タオソフトウェア株式会社
独自のチェック項目
これらの項目に、更にリスクファインダー独自のチェック項目を追加しています。
アプリが内蔵している第三者のライブラリの問題を検出
第三者が作成したライブラリをアプリに組み込んで利用する開発スタイルが普及しています。しかし、ライブラリに問題があったとしても、アプリ開発者がそれに事前に気づくことは不可能です。
リスクファインダーは第三者のライブラリも診断し、問題を検出します。一般的なライブラリはリスクファインダーに登録されているので、ライブラリの機能、ライセンス形態等の情報を確認できます。
APIとPermissionの関連付けによるチェック
リスクファインダーはPermissionとAPIの依存関係の情報を内蔵しているため、以下のようなチェックが可能です。
- Permissionを必要とするAPIを使用しているが、Permissionの利用が宣言されていない
- Permissionの利用が宣言されているが、これを必要とするAPIを使用していない
バッテリーに負荷をかける処理の検出
バッテリーに負荷をかける処理を検出し、改善案を提案します。
Android OSのバージョンに応じた不具合の検出
特定のバージョンのOSにのみ存在する問題も検出します。
アプリがサポート対象とするOSバージョンに応じたチェックにより問題を検出し、改善策を提案します。
Android推奨ルールからの逸脱を検出
Googleが提供しているデベロッパーズガイドに準拠していない点を検出し、改善案を提案します。
検出項目一覧
脆弱性に関する項目
- Activityの脆弱性
- Serviceの脆弱性
- ContentProviderの脆弱性
- BroadcastReceiverの脆弱性
- AndroidManifest.xmlの脆弱性
- 使用できないPermission
- 不要なPermission
- 外部記憶装置へのアクセス
- ファイルのアクセス制限不備
- Log出力メソッドの使用
- JavaScriptが使用可能なWebView
- JavaScriptを使用しているAsset内HTMLファイル
- SSL通信時の証明書検証不備
- アプリ内に含まれているURL
- 安全性の低い暗号化ロジック
- プログラム内に組み込まれているライブラリの問題
- etc...
品質に関する項目
- 誤った証明書の使用
- AndroidManifest.xml内の不要な項目
- デバッグモードの設定
- OSバージョン固有の問題
- 廃止されたAPIの使用
- プライバシーに配慮が必要な処理
- Android推奨ルールからの逸脱
- 実行時エラーとなる可能性
- etc...
マルウェアと疑われる可能性のある項目
- グレーゾーンアプリの疑いのあるPermissionの使用
- 危険なPermissionの使用
- 広告ライブラリの使用
- 危険なライブラリの使用
- グレーゾーンのライブラリ使用
- etc...