MASTG-TEST-0206 ネットワークトラフィックキャプチャにおける機密データ (Sensitive Data in Network Traffic Capture)

概要

攻撃者は ZAPBurp Suitemitmproxy などの傍受プロキシを使用して Android デバイスからのネットワークトラフィックをキャプチャし、アプリから送信されるデータを解析できます。これはアプリが HTTPS を使用している場合でも機能します。攻撃者は Android デバイスにカスタムルート証明書をインストールしてトラフィックを復号できるためです。HTTPS で暗号化されていないトラフィックの検査はさらに簡単で、たとえば Wireshark を使用することで、カスタムルート証明書をインストールすることなく実行できます。

このテストの目的は、トラフィックが暗号化されている場合でも、機密データがネットワーク経由で送信されていないことを検証することです。このテストは、金融データや医療データなどの機密データを扱うアプリにとって特に重要であり、アプリのプライバシーポリシーと App Store のプライバシー宣言のレビューと併せて実施すべきです。

手順

  1. デバイスを起動します。

  2. ネットワークトラフィックからの機密データのログ記録を開始します (ネットワークトラフィックからの機密データのログ記録 (Logging Sensitive Data from Network Traffic))。たとえば、mitmproxy を使用します。

  3. アプリを起動して使用し、さまざまなワークフローを実行しながら、可能な場所で機密データを入力します。特に、ネットワークトラフィックをトリガーすることが分かっている場所で行います。

結果

出力には復号された HTTPS トラフィックを含むネットワークトラフィックの機密データログを含む可能性があります。

評価

App Store のプライバシー宣言に記載されていない、アプリに入力した機密データを見つけることができた場合、そのテストケースは不合格です。

このテストは、機密データがネットワーク経由で送信されるコードの場所を提供しないことに注意してください。コードの場所を特定するには、semgrep などの静的解析ツールや Frida などの動的解析ツールを使用できます。

Last updated

Was this helpful?