リスクファインダーは、Androidアプリの脆弱性診断ウェブサービス「RiskFinder(リスクファインダー)」の最新版となる「RiskFinder6.0 JSSEC(※)対応版」をリリースした。※JSSEC(ジェイセック)…一般社団法人日本スマートフォンセキュリティ協会
「RiskFinder」は、Androidアプリの脆弱性を診断するWebサービス。ブラウザを経由してアプリケーションファイル(.apkファイル)を「RiskFinder」サーバへアップロードするだけで、すぐに診断結果を得ることができる。「RiskFinder」は2013年4月のサービス開始以来、キャリアやアプリ開発会社、アプリ検証サービス会社など、多方面で利用されています。
【「RiskFinder6.0 JSSEC対応版」リリースの背景】
「RiskFinder6.0 JSSEC対応版」は、JSSECが2016年2月3日に公開した「Androidアプリのセキュア設計・セキュアコーディングガイド」(2016年2月1日版)の追加変更点に対応したものとなる
「RiskFinder」は2013年のサービス開始以来、JSSECが公開する「Androidアプリのセキュア設計・セキュアコーディングガイド」に準拠した脆弱性診断機能を提供している。リスクファインダーは、2015年12月に「Android 6.0 Marshmallow」の変更点に対応した「RiskFinder6.0」をリリースしたが、JSSECから新しいガイドが公開されたことを受け、急遽JSSEC対応版をリリースした。リスクファインダーは、利用者へ安心して利用できるアプリを届けるため、常にRiskFinderを改善、強化し、アプリ開発作業を支援し続けていく。
【RiskFinder6.0 JSSEC対応版の変更点について】
本版での診断項目の追加・変更点の概要は以下のとおり。
■「Androidアプリのセキュア設計・セキュアコーディングガイド」(2016年2月1日版)の追加・変更内容へ対応
■上記以外の追加・変更点
・複数の脆弱性があるOpenSSLライブラリの使用を検知する機能を追加
・アプリケーション署名時のアルゴリズム検査を追加
・ダミーのMACアドレスを返却するAPIの使用を検知する機能を追加
・ダミーのBluetoothデバイスアドレスを返却するAPIの使用を検知する機能を追加
