MASTG-TEST-0080 強制更新のテスト (Testing Enforced Updating)

概要

静的解析

まず更新メカニズムがあるかどうかを確認します。まだ存在しないのであれば、ユーザーに更新を強制できないということかもしれません。 そのメカニズムが存在するのであれば、「常に最新」を強制するかどうかとそれが本当にビジネス戦略に沿っているかどうかを確認します。そうでなければ、そのメカニズムが特定のバージョンへの更新をサポートしているか銅貨を確認します。 更新メカニズムがバイパスできないようにするために、アプリケーションのすべてのエントリが更新メカニズムを通過することを確認します。

動的解析

適切な更新をテストするには、開発者からのリリースやサードパーティのアプリストアを使用して、セキュリティ脆弱性のある古いバージョンのアプリケーションをダウンロードしてみます。 次に、アプリケーションを更新せずに使用し続けることができるかどうかを検証します。更新プロンプトが表示された場合、そのプロンプトをキャンセルするか、通常のアプリケーションの使用によってプロンプトを回避して、アプリケーションを引き続き使用できるかどうかを検証します。これには、バックエンドが脆弱なバックエンドへの呼び出しを停止するかどうかや、脆弱なアプリバージョン自体がバックエンドによってブロックされているかどうかを検証することを含みます。 最後に、中間マシン (Machine-in-the-Middle, MIMT) プロキシを使用してトラフィックを傍受しながらアプリのバージョン番号を変更してみて、バックエンドがどのように応答するか (その変更が記録されるかどうかなど) を観察します。