MASTG-TEST-0236 ネットワーク上で観測されるクリアテキストトラフィック (Cleartext Traffic Observed on the Network)

概要

このテストはアプリの送受信ネットワークトラフィックを傍受して、クリアテキスト通信をチェックします。 静的チェックでは 潜在的な クリアテキストトラフィックを示すだけですが、この動的テストではアプリケーションが確かに行うすべての通信を示します。

!!! 警告 制限事項 - ネットワークレベルでトラフィックを傍受すると、単一のアプリだけでなく、デバイス が実行するすべてのトラフィックを示します。トラフィックを特定のアプリにリンクさせることは、特にデバイスに複数のアプリがインストールされている場合、困難です。 - 傍受したトラフィックをアプリの特定の場所にリンクすることは困難であり、コードを手作業で解析する必要があります。 - 動的解析はアプリを広範囲に操作する場合に最適です。しかし、その場合でも、すべてのデバイスで実行することが困難であったり不可能であるコーナーケースが存在する可能性があります。したがって、このテストの結果は包括的ではないかもしれません。

手順

以下のいずれかのアプローチを使用できます。

• すべてのトラフィックをキャプチャするには 基本的なネットワークモニタリング/スニッフィング (Basic Network Monitoring/Sniffing) (Android の場合) または 基本的なネットワークモニタリング/スニッフィング (Basic Network Monitoring/Sniffing) (iOS の場合) をセットアップします。

• すべてのトラフィックをキャプチャするには 傍受プロキシの設定 (Setting Up an Interception Proxy) (Android の場合) または 傍受プロキシの設定 (Setting Up an Interception Proxy) (iOS の場合) をセットアップします。

注:

• 傍受プロキシは HTTP(S) トラフィックのみを示します。ただし、Burp-non-HTTP-Extension などのツール固有のプラグインや MITM Relay などの他のツールを使用して、XMPP やその他のプロトコルを介した通信をデコードして可視化できます。

• 一部のアプリでは、証明書のピン留めのため、Burp や ZAP などのプロキシが正しく機能しないことがあります。そのようなシナリオでも、基本的なネットワークスニフィングを使用してクリアテキストトラフィックを検出できます。さもなければ、ピン留めを無効にしてみてください (Android の場合 証明書ピン留めのバイパス (Bypassing Certificate Pinning)、iOS の場合 証明書ピン留めのバイパス (Bypassing Certificate Pinning) を参照してください)。

結果

出力にはキャプチャしたネットワークトラフィックを含みます。

評価

クリアテキストトラフィックがターゲットアプリから発生する場合、そのテストケースは不合格です。

注: トラフィックはデバイス上のどのアプリからも発生する可能性があるため、これを判断することは困難となる可能性があります。概要 セクションを参照してください。