株式会社セキュアイノベーション
Menu

セキュリティコラム

  • エンドポイント

公開:2021.05.31 10:00 | 更新: 2022.08.17 04:29

モバイルアプリの脆弱性診断 ~MobSF(Mobile Security Framework)をWindowsにインストールする~

はじめに

MobSF(Mobile Security Framework)とはモバイルアプリケーション(Android / iOS / Windows)の静的および動的解析ができ、さらには侵入テスト、マルウェア分析、セキュリティ評価が可能なOSSフレームワークです。
参考:https://github.com/MobSF/Mobile-Security-Framework-MobSF

日本語でのWindowsへのインストール情報が少ないため、実際にインストールし記事に起こしていきたいと思います。

要件を確認する

動的解析にはAndroidのエミュレータ等も必要になるとのことですが、ひとまず静的解析でのインストールを目指します。
以下の順に各モジュールをインストールしていきます。
参考:https://mobsf.github.io/docs/#/requirements

  1. Git
  2. Python 3.8~3.9
  3. JDK8以降
  4. Microsoft Visual C++ Build Tools
  5. OpenSSL (non-light)
  6. wkhtmltopdf
  7. wkhtmltopdfのバイナリを含むフォルダを環境変数PATHに追加
  8. 環境変数JAVA_HOMEの設定(※今回は紹介を省きます)

必須ソフトのインストール

1.Gitのインストール

Versionは最新の2.31.1としました。
特に難しいことはなくインストーラーに沿ってインストールを進めます。
https://git-scm.com/download/win

2.Pythonのインストール

こちらもVersionは最新の3.9.5としました。
Gitのインストール同様にインストーラーに沿ってデフォルトでインストールを進めます。
環境変数を追加する必要があるため、「Customize installation」を選択します。
https://www.python.org/downloads/

「Add Python to environment variables」にチェックを入れます。

3.JDK8のインストール

今回はAdoptOpenJDKにてJDK8の最新版を選択しました。
AdoptOpenJDKにてデフォルトインストールした場合は、環境変数JAVA_HOMEが設定されますが、それ以外の場合は、JAVA_HOMEが設定されているか確認が必要です。
https://adoptopenjdk.net/?variant=openjdk8&jvmVariant=hotspot

4.Microsoft Visual C++ Build Toolsのインストール

こちらは上記URLに飛ぶと自動的にダウンロードが始まります。
例のごとく、と言いたいところですが「C++ Build Tools」にしっかりとチェックを入れてインストールを進めます。
https://visualstudio.microsoft.com/ja/thank-you-downloading-visual-studio/?sku=BuildTools&rel=16

5.OpenSSL (non-light)のインストール

非軽量版とのことなので、「Light」が記載されていないOpenSSLをインストールします。
https://slproweb.com/products/Win32OpenSSL.html

6.wkhtmltopdfのインストール

最新版の0.12.6をインストーラーに沿ってインストールします。
https://wkhtmltopdf.org/downloads.html

7.wkhtmltopdfのバイナリを含むフォルダを環境変数PATHに追加

先にインストールしたwkhtmltopdfのbinフォルダを環境変数PATHに追加します。
デフォルトでインストールした場合は下記にbinフォルダが存在しています。
C:\Program Files\wkhtmltopdf\bin

MobSFのインストール

https://mobsf.github.io/docs/#/installation
メインのMobSFのインストールを行っていきます。
といっても上記ページの通りコマンド3行で済みます。

git clone https://github.com/MobSF/Mobile-Security-Framework-MobSF.git

cd Mobile-Security-Framework-MobSF
setup.bat

インストール開始時。

インストール完了時。

MobSFの起動確認

https://mobsf.github.io/docs/#/running?id=windows
そのまま下記コマンドにてMobSFを起動させます。
run.bat 127.0.0.1:8000

http://localhost:8000/にアクセスするとコマンドプロンプトには下記のように表示されます。

ブラウザにて下記が表示されれば起動成功です。

おわりに

悪意のあるアプリに対するスマホ本体を予防・防御することはもちろん必須となりますが、作成したアプリがアタックされ悪用されないためにもアプリ自体の予防・防御も考える必要がありそうです。

最新のコラム記事

LOADING...

セキュアイノベーション サービス一覧

ネットワーク・サーバー

Webサイトを守る