RiskFinder6.0 JSSEC対応版リリース

A+ a-


本日、RiskFinder6.0 JSSEC対応版をリリースしました。
ここでは、RiskFinder6.0 JSSEC対応版で新たに追加された機能や情報、リリースの経緯などについて簡単にお知らせしたいと思います。

JSSEC対応版とは

RiskFinder」は2013年のサービス開始以来、JSSECが公開する「Androidアプリのセキュア設計・セキュアコーディングガイド」に準拠した脆弱性診断機能を提供しています。2月3日にこのガイドラインの最新版が公開されたことを受け、ガイドラインの追加・変更点に合わせて診断内容も追加・変更しました。
Android 6.0 Marshmallow」の変更点に対応した「RiskFinder6.0」をリリースしたのが、わずか2ヶ月前の201512月です。しかし、JSSECさんから新しいガイドが公開されたとなれば、そこは対応するのが開発元の使命、ということで急遽JSSEC対応版をリリースしたということです。開発チーム頑張りました!

RiskFinder6.0 JSSEC対応版の変更点

今回のリリースで追加・変更された主な点は以下のとおりです。

  • 「Androidアプリのセキュア設計・セキュアコーディングガイド」(2016年2月1日版)の追加・変更内容へ対応
  • 上記以外の追加・変更点
    • 複数の脆弱性があるOpenSSLライブラリの使用を検知する機能を追加
    • アプリケーション署名時のアルゴリズム検査を追加
    • ダミーのMACアドレスを返却するAPIの使用を検知する機能を追加
    • ダミーのBluetoothデバイスアドレスを返却するAPIの使用を検知する機能を追加

まとめ

このように常にRiskFinderは改善、強化されています。Android6.0対応や、ガイドラインの変更に対応するには、RiskFinderでアプリをざっくり検査してしまうのが早道です。
修正が必要な点を列挙してくれるので、あとはそのリストをこなしていけば対応作業のほとんどが完了します。
RiskFinderが皆さんのアプリ開発のお役に立てれば幸いです。



ため吉

ため吉

リスクファインダーはAndroidアプリのセキュリティホールを見つけます!

Androidスマートフォンが急速に普及するとともにアプリの脆弱性報告も急増しています。
リスクファインダーは、Androidアプリの脆弱性診断WEBサービスです。
500項目以上のチェックでアプリの脆弱性や問題を検出し、セキュアなアプリ開発をサポートします。

  • ブラウザでファイルをアップロードするだけ
  • アプリの脆弱性を指摘するだけでなく対処方法も提示
  • 頻繁にバージョンアップするAndroidの最新情報に素早く対応

リスクファインダーの詳細はこちら