利用イメージ(クリックして拡大) |
同社はAndroidの発表当初よりAndroidアプリの開発に取り組んでおり、アプリ開発のノウハウ、そしてセキュリティに関する技術・知識を蓄えてきている。それら知識、情報はブログ、講演等で情報配信し、開発者のセキュリティ意識の向上にも努めている。
また、同社は昨年1月にAndroidのセキュリティに関する書籍「Android Security」を出版し、その後はJSSEC(一般社団法人日本スマートフォンセキュリティ協会)による「Androidアプリのセキュア設計・セキュアコーディングガイド」の執筆にも関与している。
Androidの大規模イベント「Android Bazaar and Conference」(ABC)での講演なども記憶に新しい。
そのタオソフトウェアが今回、Androidアプリの脆弱性を診断するウェブサービス「Tao RiskFinder」をリリースした。
Tao RiskFinderはアプリのソースコードを必要とせず、また開発知識も不要でアプリの脆弱性を診断できるサービスだ。必要なものは診断したいアプリのファイルとウェブブラウザを使える環境のみで、診断結果もすぐに知ることができる。
ウェブサービスなので、常に最新のバージョンで診断することが可能で、また脆弱性に加えて、マルウェアと間違われやすい項目や品質に関する項目も検出してくれる。
具体的に検出できる項目は主に次の通り。
1.セキュリティ関する検出項目例
・Activity、Service、Content Provider、Broadcast Receiver内の脆弱性
・AndroidManifest.xml内の脆弱性
・暗号化されていない通信経路、不要なサーバへのアクセス
・安全性の低い暗号化ロジック
2.マルウェアと間違われやすい検出項目例
・グレーゾーンアプリに見えるパーミッションの組み合わせ
・危険なパーミッションの使用
・広告ライブラリ、危険なライブラリ、グレーゾーンライブラリの使用
3.品質に関する検出項目例
・AndroidManifest.xml内の不要項目
・外部記憶装置への固定パスでのアクセス
・実行時エラーとなる可能性
・アンドロイド推奨ルールからの逸脱
サービスの利用料金は解析アプリ数、ユーザー数、契約期間、サポート条件などによって応相談となる。
アプリ開発会社にとっては、アプリの脆弱性を手軽にチェックできる便利なサービスとなりそうだ。
【情報元、参考リンク】
Tao RiskFinder