PENTEST: MOBILE ANWENDUNGEN

SCHÜTZEN SIE IHRE APPS

WAS SIND EINFALLSTORE FÜR ANGREIFER?

Die Bedeutung und Verbreitung von mobilen Anwendungen, beispielsweise für die Betriebssysteme iOS und Android, kurz Apps, hat in den vergangenen Jahren stetig zugenommen. Die Bereitstellung einer App ist oft unerlässlich, jedoch birgt sie auch einige Risiken und potentielle Schwachstellen. Sensible Informationen wie Passwörter oder besonders schützenswerte Daten werden häufig nicht sachgemäß auf dem Gerät abgelegt und sind somit nur unzureichend vor dem Zugriff durch Dritte geschützt. Dadurch ergibt sich eine hohe Gefährdung der Vertraulichkeit dieser Nutzerdaten.

Zudem kommunizieren Apps häufig über Schnittstellen mit den Systemen des Unternehmens, um Daten serverseitig abzulegen oder nachzuladen. Durch Schwachstellen in der Implementierung dieser Schnittstellen können Angreifer Nutzerdaten kompromittieren. Im schlimmsten Fall dienen diese Schnittstellen als Einstiegspunkt in das System und somit in das unternehmensinterne Netzwerk.

Bei unserem Pentest von mobilen Anwendungen untersuchen unsere Security Analysten Ihre Apps umfassend und identifizieren mögliche Einfallstore für Angreifer.

 

HÄUFIGE SCHWACHSTELLEN SIND BEISPIELSWEISE:

 
 
  • Unsichere Kommunikation mit dem Backend-System
  • Fehlende oder schwache Verschlüsselung
  • Unsichere Datenspeicherung
  • Unbefugtes Ausführen von Datenbankbefehlen (SQL-Injection)
 
 

 

WIE GEHEN WIR VOR?

Wir führen Pentests anhand einer einheitlichen Methodik durch, die bei Pentests mobiler Anwendungen um spezifische Elemente erweitert wird:

Mobile Anwendungen sind häufig in eine Umgebung mit Backend-Schnittstellen (Webservices/API) eingebettet, welche beispielsweise wiederum mit Datenbanken kommunizieren. Daher sollten Apps nicht isoliert betrachtet, sondern im Gesamtkontext überprüft werden. Deswegen bieten wir an, bei unseren Pentests von mobilen Anwendungen zusätzlich den Webservice zusammen mit dem unterliegenden Webserver zu berücksichtigen.

Bei der Überprüfung Ihrer App orientieren wir uns an dem OWASP Mobile Security Testing Guide (MSTG) und dem OWASP Mobile Application Security Verification Standard (MASVS) und berücksichtigen dabei besonders die nach OWASP am häufigsten auftretenden Sicherheitslücken. Dabei überprüfen wir die Sicherheit Ihrer App auf verschiedenen Ebenen. Wir untersuchen beispielsweise die serverseitige Kommunikation, das Session-Management und die clientseitigen Schutzmaßnahmen.

WELCHE ÜBERPRÜFUNGEN SIND BESTANDTEIL?

Die folgenden Überprüfungen sind unter anderem Bestandteil von Pentests mobiler Anwendungen:

  • Mapping der Applikation und Informationssammlung
  • Analyse kryptografischer Funktionen
  • Untersuchung der lokalen Authentifizierung
  • Überprüfung des Webservers auf Applikationsebene
  • Überprüfung der Netzwerkkommunikation
  • Lokale Speicherung von Daten
  • Analyse von Logs und Systemausgaben auf vertrauliche Informationen sowie Überprüfung der Verwendung eines zentralisierten Loggings
  • Überprüfung von Verteidigungsmechanismen gegen Anti-Reverse-Engineering

SIND IHRE APPS GEGEN ANGREIFER GESCHÜTZT?

Gerne beraten wir Sie zu Ihren Möglichkeiten, Ihre mobilen Anwendungen von unseren Security Analysten überprüfen zu lassen. Sprechen Sie uns einfach an.

Kontaktieren Sie uns