Keyboard shortcuts

Press or to navigate between chapters

Press S or / to search in the book

Press ? to show this help

Press Esc to hide this help

title: “モバイル Pentest チェックリスト(原案)” version: “0.1-draft”

モバイル Pentest チェックリスト(原案)

本チェックリストは、Android / iOS アプリケーションを対象とした Pentest 観点を整理するものである。

データ保護(端末内)

  • 認証情報・トークン・鍵が平文ファイルやプレーンな設定ストアに保存されていない
  • Android Keystore / iOS Keychain 等のセキュアストレージが利用されている
  • バックアップ経路(allowBackup 等)を通じて機密情報が取得できない

通信

  • すべてのバックエンド通信が HTTPS となっている(クリアテキスト通信がない)
  • 証明書検証が適切に行われている(任意の自己署名証明書を許容していない)
  • 証明書ピンニング実装の有無と、そのバイパス難易度が設計意図と整合している

リバースエンジニアリング耐性

  • アプリバイナリに API キーや秘密情報がハードコードされていない
  • 難読化やデバッグ保護が、必要な範囲で適用されている
  • root / Jailbreak 検知の方針が明確であり、その実装が想定通りに動作している