Mobile App Pentest

Neue Technologien bergen immer neue Sicherheitsrisiken und Mobile Computing ist da keine Ausnahme. Wir helfen Ihnen, die Angriffsmöglichkeiten auf Ihren mobilen Apps mit einem Pentest zu eliminieren.

Definition und Erklärung

Was ist Mobile App Penetration Testing?

Mobile App Penetration Testing ist ein Verfahren zur Bewertung der Sicherheit von mobilen Applikationen - kurz App. Wir führen Mobile-Pentesting nach dem OWASP Mobile Security Testing Guide durch. Digitale Geschäftsmodelle, die Verarbeitung sensibler Informationen und eine sichere Abwicklung der Interoperabilität zwischen verschiedenen APIs machen eine Analyse unverzichtbar.

iOS- und Android-Penetration-Test

Penetration Tests für alle mobilen Anwendungen

Unsere Mobile-App-Penetration-Tester haben einen Hintergrund im Bereich Infrastruktur- und Web-Penetration-Test, eine Qualität, die für das Testen mobiler Apps notwendig ist, denn fast jede App kommuniziert mit einem Backend-System. Diese Expertise ist essenziell, da wir somit das gesamte Spektrum von nativen Apps, hybriden Apps, Web Apps und progressiven Webanwendungen überprüfen können.

Mobile Cyber Security

Schützen Sie Ihre Benutzer vor Kriminellen mit Cyber Security!

Wir stellen sicher, dass eine Fremdnutzung von Nutzerdaten wie Nachrichten, persönliche Daten, Adressbüchern, Standort und Bewegungsprofile nicht möglich ist. So schützen wir Ihre Daten vor Verlust und prüfen die Einhaltung von starker Cyber Security.

Ganzheitliche Betrachtung der Schnittstellen: Die Sicherheit der interagierenden Server sowie die Schnittstelle zwischen dem mobilen Endgerät und dem Server müssen ausgiebig getestet werden, um eine reibungslose Interoperabilität zu garantieren.
Mobilespezifische Testungen: Wir stellen sicher, dass eine Fremdnutzung von Nutzerdaten wie Nachrichten, persönliche Daten, Adressbüchern, Standort und Bewegungsprofile nicht möglich ist.
Statische- und Dynamische-Analysen: Die Überprüfungen decken Statische- und Dynamische-Analysen ab.

Maßgeschneiderte IT-Sicherheitsanalysen

Wir führen IT-Sicherheitsanalysen auf Basis von anerkannten Standards und Richtlinien durch

Unsere Prozesse sind an den Praxis-Leitfaden für Pentests des Bundesamts für Informationssicherheit (BSI) und an die EU-DSGVO angepasst.

Standarmäßig OWASP MASVS: Das Testen von mobilen Apps verläuft nach der Kategorisierung von dem MASVS (Mobile Application Security Verification Standard)
OWASP Mobile Top 10: Die OWASP Mobile Top 10 ist eine Liste der dringlichsten Schwachstellen, vor denen Sie mobile Anwendungen schützen sollten.
Prüfung von medizinischen Produkten und Gesundheits-Apps: Wir haben Erfahrung in der Prüfung von medizinischen Produkten und digitalen Gesundheitsanwendungen für eine DiGa-Akkreditierung.

Erfahren Sie mehr über die Durchführung von Penetration Tests mit turingpoint!

Mehr Informationen

Penetrationstest alle mobilen Apps

Penetrationstest-Module für iOS und Android

Grundsätzlich gilt, je länger unsere Security Engineers Ihre App einem Penetrationstest unterziehen, desto aussagekräftiger sind die Ergebnisse. Sollten Sie spezielle Ansprüche haben, machen wir Ihnen gerne ein individuelles Angebot.

Architektur, Design und Bedrohungsanalysen: Für jede Komponente der App müssen Funktionsumfang und Sicherheitsfunktionen klar definiert und bekannt sein. Die meisten Apps kommunizieren mit Schnittstellen, deshalb müssen auch für diese API-Endpunkte angemessene Security Standards umgesetzt sein.
Datenspeicherung und Datenschutz: Der Schutz sensibler Daten wie Nutzer-Anmeldedaten und privaten Informationen ist ein Schwerpunkt im Bereich mobiler Sicherheit. Datenlecks können ungewollt im Bereich Cloud-Daten-Speicherung, Backups oder dem Tastatur-Cache auftreten. Darüber hinaus können mobile Geräte leichter verloren gehen oder gestohlen werden.
Kryptographie: Kryptographie ist ein wesentlicher Eckpfeiler zum Schutz von Daten, die auf mobilen Geräten gespeichert werden. Es ist aber auch eine Kategorie, bei der vieles falsch gemacht werden kann, besonders wenn man keine Standard-Konventionen einhält. Die Kategorie soll sicherstellen, dass eine überprüfte App Kryptographie-Best-Practices nutzt.
Netzwerkkommunikation: Der Zweck dieser Kategorie ist es, die Vertraulichkeit und Integrität übertragener Daten zwischen mobiler App und entferntem Server zu gewährleisten. Dazu muss eine mobile App einen sicheren, verschlüsselten Kanal zur Netzwerkkommunikation unter Nutzung des TLS-Protokolls mit adäquaten TLS-Einstellungen aufbauen.
Plattform-Interaktion: Die Anforderungen aus dieser Kategorie sollen sicherstellen, dass Plattform-Komponenten und Standard-Komponenten von der App auf sichere Weise genutzt werden. Zusätzlich decken die Anforderungen auch die Kommunikation (IPC) zwischen Apps ab.
Code-Qualität und Build-Einstellungen: Das Ziel dieser Kategorie ist, sicherzustellen, dass bei der App-Entwicklung Basis-Security-Praktiken eingehalten werden und die enthaltenen Sicherheitsfunktionen des Compilers aktiviert sind.
Manipulationssicherheit: Diese Kategorie behandelt Defense-in-Depth-Maßnahmen empfohlen für Apps, die Zugriff auf sensible Daten oder sensible Funktionalitäten beinhalten. Sind diese Maßnahmen nicht umgesetzt, führt dies nicht unmittelbar zu einer Schwachstelle, jedoch erhöhen die Maßnahmen die Robustheit der App gegen Angriffe und Reverse Engineering.

Aktuelle Informationen

Aktuelle Blog-Artikel

Unsere Mitarbeiter veröffentlichen regelmäßig Artikel zum Thema IT-Security

Penetrationstest

Klassifikation von Pentests nach BSI

Dieser Artikel beleuchtet die sechs Kriterien, festgelegt vom BSI, die es bei einem Pentest zu berücksichtigen gibt.

Jan Kahmen

30. Januar 20247 min Lesezeit

Penetrationstest

Pentest - Remote vs vor Ort

Pentests können von einem Analysten vor Ort, aber auch der Ferne durchgeführt werden. Dieser Artikel soll die Vor- und Nachteile der 2 Optionen nahelegen.

Jan Kahmen

18. Januar 20243 min Lesezeit