Mobile Anwendungen

Mobile Anwendungen (Android/iOS) verarbeiten oft sensible Daten direkt auf dem Gerät und kommunizieren im Hintergrund mit einer Web-Schnittstelle. Damit bieten sie gleich zwei Angriffsflächen: die App selbst und die Schnittstelle. Wir untersuchen mobile Anwendungen vom installierten Paket bis zur Web-Kommunikation – von Kunden- und Service-Apps bis Banking-Anwendungen.

Warum Pentests von Apps

s

Unser wichtigster Grund für Pentests von mobilen Anwendungen ist das Aufdecken von Schwachstellen, über die:

  • Sensible Daten auf dem Gerät ausgelesen oder manipuliert werden können
  • Schutzmechanismen der App umgangen werden können
  • Über die Web-Schnittstellen weiterführende Angriffe auf Daten und die abgebildeten Prozesse möglich sind

 

Wann Pentests von Apps

Die besten Zeitpunkte sind aus unserer Sicht:

  • Begleitend zur Entwicklung, um frühzeitig Design-Schwächen zu beheben
  • Idealerweise vor der Veröffentlichung im Store
  • Bei neuen Funktionen, Framework-Wechseln oder größeren Updates
  • Regelmäßig, um Anfälligkeiten gegenüber neuen Angriffsmöglichkeiten zu prüfen

 

Ergebnisse

i

Typische Pentest-Ergebnisse sind:

  • Technische Schwachstellen, die z. B. unbefugten Zugriff auf lokal gespeicherte Daten ermöglichen oder die Kommunikation mit dem Backend angreifbar machen
  • Schwächen zu Prüfpunkten aus dem OWASP Mobile Application Security Testing Guide (MASTG)
  • Abweichungen von den Anforderungen des OWASP Mobile Application Security Verification Standard (MASVS)
  • Schwachstellen in fachlichen Abläufen, wie das Umgehen von Berechtigungsprüfungen oder das mehrfache Ausführen einmaliger Aktionen
  • Aussage über das Sicherheitsniveau der App und der angebundenen Web-Schnittstellen

 

Was wir von euch brauchen

Für den Pentest einer mobilen Anwendung benötigen wir von euch:

  • Die App als installationsfähige Datei, in einer testbaren Variante
  • Benutzerkonten für alle Rollen, die getestet werden sollen
  • Sofern möglich: Bereitstellen des Quellcodes der App
  • Freischaltung unserer IP-Adresse für die Web-Schnittstellen in eventuellen Schutzsystemen (z. B. WAF, IPS)
  • Angabe, ob auf einer Test- oder Produktiv-Umgebung getestet werden soll
  • Informieren von beteiligten Personen, wie externe Hoster oder Dienstleister
  • Gebt uns gerne fachliche Worst-Case-Szenarien mit, die wir gezielt anschauen werden
  • Wir installieren die Anwendung auf unseren Testgeräten – wir arbeiten mit Emulatoren und bei Bedarf mit physischen Geräten.

Projekt in Planung?

Egal, ob Pentest, Red Teaming oder individueller Wunsch –
wir freuen uns, mit dir zu sprechen!

Kontakt
Konfigurator