Pentest: Mobile Anwendungen

Schützen Sie Ihre Apps

Was sind Einfallstore für Angreifer?

Die Bedeutung und Verbreitung von mobilen Anwendungen, beispielsweise für die Betriebssysteme iOS und Android, kurz Apps, hat in den vergangenen Jahren stetig zugenommen. Die Bereitstellung einer App ist oft unerlässlich, jedoch birgt sie auch einige Risiken und potentielle Schwachstellen. Sensible Informationen wie Passwörter oder besonders schützenswerte Daten werden häufig nicht sachgemäß auf dem Gerät abgelegt und sind somit nur unzureichend vor dem Zugriff durch Dritte geschützt. Dadurch ergibt sich eine hohe Gefährdung der Vertraulichkeit dieser Nutzerdaten.

Zudem kommunizieren Apps häufig über Schnittstellen mit den Systemen des Unternehmens, um Daten serverseitig abzulegen oder nachzuladen. Durch Schwachstellen in der Implementierung dieser Schnittstellen können Angreifer Nutzerdaten kompromittieren. Im schlimmsten Fall dienen diese Schnittstellen als Einstiegspunkt in das System und somit in das unternehmensinterne Netzwerk.

Bei unserem Pentest von mobilen Anwendungen untersuchen unsere Security Analysten Ihre Apps umfassend und identifizieren mögliche Einfallstore für Angreifer.

Häufige Schwachstellen sind beispielsweise: 

icon schwachstelle orange 003
  • Unsichere Kommunikation mit dem Backend-System
  • Fehlende oder schwache Verschlüsselung
  • Unsichere Datenspeicherung
  • Unbefugtes Ausführen von Datenbankbefehlen (SQL-Injection)

Wie gehen wir vor?

Wir führen Pentests anhand einer einheitlichen Methodik durch, die bei Pentests mobiler Anwendungen um spezifische Elemente erweitert wird:

Mobile Anwendungen sind häufig in eine Umgebung mit Backend-Schnittstellen (Webservices/API) eingebettet, welche beispielsweise wiederum mit Datenbanken kommunizieren. Daher sollten Apps nicht isoliert betrachtet, sondern im Gesamtkontext überprüft werden. Deswegen bieten wir an, bei unseren Pentests von mobilen Anwendungen zusätzlich den Webservice zusammen mit dem unterliegenden Webserver zu berücksichtigen.

Bei der Überprüfung Ihrer App orientieren wir uns an dem OWASP Mobile Security Testing Guide (MSTG) und dem OWASP Mobile Application Security Verification Standard (MASVS) und berücksichtigen dabei besonders die nach OWASP am häufigsten auftretenden Sicherheitslücken. Dabei überprüfen wir die Sicherheit Ihrer App auf verschiedenen Ebenen. Wir untersuchen beispielsweise die serverseitige Kommunikation, das Session-Management und die clientseitigen Schutzmaßnahmen.

 

Welche Überprüfungen sind Bestandteil?

Die folgenden Überprüfungen sind unter anderem Bestandteil von Pentests mobiler Anwendungen:

  • Mapping der Applikation und Informationssammlung
  • Analyse kryptografischer Funktionen
  • Untersuchung der lokalen Authentifizierung
  • Überprüfung des Webservers auf Applikationsebene
  • Überprüfung der Netzwerkkommunikation
  • Lokale Speicherung von Daten
  • Analyse von Logs und Systemausgaben auf vertrauliche Informationen sowie
  • Überprüfung der Verwendung eines zentralisierten Loggings
  • Überprüfung von Verteidigungsmechanismen gegen Anti-Reverse-Engineering
usd pentest webseite IV 1

Sind Ihre Systeme gegen Angreifer geschützt?

Gerne beraten wir Sie zu Ihren Möglichkeiten, Ihre mobilen Anwendungen von unseren Security Analysten überprüfen zu lassen. Sprechen Sie uns einfach an.

Kontakt

 

Sie haben Fragen oder Interesse? Sprechen Sie uns gerne an.

Telefon: +49 6102 8631-190
E-Mail: vertrieb@usd.de
PGP Key
S/MIME
Kontaktformular

 

Daniel Heyne
usd Team Lead Sales,
Security Consultant Pentest, OSCP, OSCE