Mobile App Pentest

Neue Technologien bergen immer neue Sicherheitsrisiken und Mobile Computing ist da keine Ausnahme. Wir helfen Ihnen, die Angriffsmöglichkeiten auf Ihre mobilen Apps zu eliminieren.

Mobile App Pentest

Neue Technologien bergen immer neue Sicherheitsrisiken und Mobile Computing ist da keine Ausnahme. Wir helfen Ihnen, die Angriffsmöglichkeiten auf Ihre mobilen Apps zu eliminieren.

Was ist ein Mobile App Pentest?

Der Mobile App Pentest ist ein Verfahren zur Bewertung der Sicherheit von mobilen Applikationen - kurz App. Wir führen Mobile-Pentest nach demOWASP Mobile Security Testing Guide durch. Digitale Geschäftsmodelle, die Verarbeitung sensibler Informationen und eine sichere Abwicklung der Interoperabilität zwischen verschiedenen APIs und anderweitiger mobilen Apps macht einen Pentest unverzichtbar. Unsere Mobile-App-Pentester haben einen Hintergrund im Bereich Infrastruktur- und Web-Pentest, eine Qualität, die für das Testen mobiler Apps notwendig ist, denn fast jede App kommuniziert mit einem Backend-System. Diese Exterpise ist essenziell, da wir somit das gesamte Spektrum von nativen Apps, hybriden Apps, Web Apps und progressiven Webanwendungen überprüfen können.

Schützen Sie Ihre Benutzer vor Kriminellen!

Der Pentest für mobile Apps wird von unseren speziell ausgebildeten IT-Beratern nach anerkannten Standards geplant, durchgeführt und ausgewertet.

Wir schützen Ihre Daten vor Verlust und prüfen die Einhaltung von Datenschutzbestimmungen
  • Wir stellen sicher, dass eine Fremdnutzung von Nutzerdaten wie Nachrichten, persönliche Daten, Adressbüchern, Standort und Bewegungsprofile nicht möglich ist.
  • Ein umfassende Prüfung der Zugriffsrechte schützt vor unberechtigtem Zugriff und unerwünschter Weitergabe von Daten.
  • Die Sicherheit der interagierenden Server sowie die Schnittstelle zwischen dem mobilem Endgerät und dem Server müssen ausgiebig getestet werden, um eine reibungslose Interoperabilität zu garantieren.
  • Eine umfangreiche Forschung stellt sicher, dass auch tagesaktuelle Schwachstellen identifiziert werden können.
Wir führen Pentests auf Basis von anerkannten Standards und Richtlinien durch.
  • Das Testen von mobilen Apps verläuft nach der Kategorisierung von dem MASVS (Mobile Application Security Verification Standard)
  • Unsere Prozesse sind an den Praxis-Leitfaden für Pentests des Bundesamts für Informationssicherheit (BSI) und an die EU-DSGVO angepasst.
  • Eine Ausrichtung an die Standards OSSTMM, NIST CIS und PCIDSS ist auf Wunsch auch möglich.

IT-Sicherheitstest-Module für iOS und Android

Grundsätzlich gilt, je länger unsere Security Engineers Ihre App untersuchen, desto aussagekräftiger sind die Ergebnisse. Sollten Sie spezielle Ansprüche haben, machen wir Ihnen gerne ein individuelles Angebot.

  • Architektur, Design und Bedrohungsanalysen

    Für jede Komponente der App müssen Funktionsumfang und Sicherheitsfunktionen klar definiert und bekannt sein. Die meisten Apps kommunizieren mit Schnittstellen, deshalb müssen auch für diese API-Endpunkte angemessene Security Standards umgesetzt sein.

  • Datenspeicherung und Datenschutz

    Der Schutz sensibler Daten wie Nutzer-Anmeldedaten und privaten Informationen ist ein Schwerpunkt im Bereich mobiler Sicherheit. Datenlecks können ungewollt im Bereich Cloud-Daten-Speicherung, Backups oder dem Tastatur-Cache auftreten. Darüber hinaus können mobile Geräte leichter verloren gehen oder gestohlen werden.

  • Kryptographie

    Kryptographie ist eine wesentlicher Eckpfeiler zum Schutz von Daten, die auf mobilen Geräten gespeichert werden. Es ist aber auch eine Kategorie bei der vieles falsch gemacht werden kann, besonders wenn man keine Standard-Konventionen einhält. Die Kategorie soll sicherstellen, dass eine überprüfte App Kryptographie-Best-Practices nutzt.

  • Netzwerkkommunikation

    Der Zweck dieser Kategorie ist es die Vertraulichkeit und Integrität übertragener Daten zwischen mobiler App und entferntem Server zu gewährleisten. Dazu muss eine mobile App einen sicheren, verschlüsselten Kanal zur Netzwerkkommunikation unter Nutzung des TLS-Protokolls mit adäquaten TLS-Einstellungen aufbauen.

  • Plattform-Interaktion

    Die Anforderungen aus dieser Kategorie sollen sicherstellen, dass Plattform-Komponenten und Standard-Komponenten von der App auf sichere Weise genutzt werden. Zusätzlich decken die Anforderungen auch die Kommunikation (IPC) zwischen Apps ab.

  • Code-Qualität und Build-Einstellungen

    Das Ziel dieser Kategorie ist, sicherzustellen, dass bei der App-Entwicklung Basis-Security-Praktiken eingehalten werden und die enthaltenen Sicherheitsfunktionen des Compilers aktiviert sind.

  • Manipulationssicherheit

    Diese Kategorie behandelt Defense-in-Depth-Maßnahmen empfohlen für Apps die Zugriff auf sensible Daten oder sensible Funktionalitäten beinhalten. Sind diese Maßnahmen nicht umgesetzt, führt dies nicht unmittelbar zu einer Schwachstelle, jedoch erhöhen die Maßnahmen die Robustheit der App gegen Angriffe und Reverse Engineering.

App-Pentest

Abschlussbericht der IT-Sicherheitsanalyse

Wir haben ein umfangreiches Berichtsformat entwickelt, das optimalen Einblick in unsere Arbeit und dessen Ergebnisse ermöglicht. Pentests werden von uns nach dem OWASP Mobile Security Testing Guide durchgeführt und auch dementsprechend ausgewertet.

  • Unser Bericht wird nach annerkannten Standards erstellt und enthält u. a. eineManagement Summary, eine Schwachstellenübersicht, details zur Schwachstellen und Behebungs-Schritte. Die Bewertung der Findings richtet sich nach dem CVSS 3.0 Standard.
  • Unser ausführliches Berichtsformat gibt nicht nur Aufschluss darüber, welche Schwachstellen während des Pentests identifiziert wurden, sondern auch welche Angriffsvektoren dabei überprüft wurden. Somit können Sie unsere Arbeit optimal nachvollziehen.
  • Der Abschlussbericht wird individuell erstellt und sowohl als klassisches PDF-Dokument, als auch in einem speziellem HTML-Format ausgeliefert. Im dynamischen HTML-Format können Inhalte und Schwachstellen-Funde gefiltert, sortiert und in andere Formate exportiert werden.
  • In einem gemeinsamen Abschlussgespräch besprechen wir mit Ihnen die Details des Berichts und unterstützen Sie bei Bedarf bei der Behebung der identifizierten Schwachstellen.
Pentest-Report

Wie führen wir den Pentest durch?

Der von uns durchgeführte Pentest ist ein agiler Prozess und wird in enger Absprache mit dem Kunden durchgeführt. Der Prozess ist für iOS und Android identisch.

Kick-Off

Bei einem gemeinsamen Kick-Off-Gespräch werden die zu prüfenden Rahmenbedingungen spezifiziert, es werden notwendige Benutzerkonten und Zugriffswege abgestimmt, Ansprechpartner und Eskalationswege definiert und der Pentest wird im Detail gemeinsam geplant.

Manual & Automated Research

Unsere Security Engineers versuchen möglichst viele Informationen zu sammeln. Auf Basis dieser Informationen werden Analysestrategien entwickelt, mit denen mögliche Angriffsvektoren identifiziert werden können. Diese Angriffsvektoren werden dann in umfangreichen Tests auf Schwachstellen untersucht.

Manual Exploitation

Hier wird versucht, die identifizierten Schwachstellen auszunutzen, um Zugriff auf die Zielsysteme zu erlangen. Dabei werden von unserem Pentester, abhängig vom jeweiligen Dienst oder der technischen Umgebung, neue Exploits geschrieben oder bestehende verwendet. Potentielle Schwachstellen können sich hier als False Positives herausstellen. Nur verifizierte Schwachstellen werden in den abschließenden Bericht aufgenommen und entsprechend ihrer Kritikalität nach CVSS 3.0 eingestuft.

Report

Wir haben ein umfangreiches Berichtsformat entwickelt, das optimalen Einblick in unsere Arbeit und dessen Ergebnisse ermöglicht. Dieser besteht aus einer Business-Risk-Analyse, Management Summary und einer umfangreichen Test- und Schwachstellenbeschreibung. Die Kritikalität der Schwachstellen und Handlungsempfehlungen werden darin ausführlich beschrieben.

Remediation (Optional)

Wenn die Analyse abgeschlossen ist, dann erfolgt die Behebung der identifizierten Schwachstellen Ihrerseits. Unsere Auswertungen bietet Ihnen detailierte Empfehlungen über die jeweilige Schwachstelle. Bei Bedarf können unsere Security Engineers umfangreiche Hilfestellungen für die Behebung geben.

Kostenlose Nachprüfung (Optional)

Gerne überprüfen wir die Sicherheitsschwächen erneut, um sicherzustellen, dass die Verteidigungsmechanismen korrekt umgesetzt worden sind.

Abschlussgespräch & Zertifizierung (Optional)

In dem Abschlussgespräch werden alle kritischen Punkte im Ergebnisbericht besprochen und alle Fragen geklärt. Abschließend überreichen wir Ihnen gerne ein Zertifikat als Nachweis für Ihre Kunden.

eBook: Den richtigen Pentest-Anbieter finden

Laden Sie sich unser kostenloses eBook "Den richtigen Pentest-Anbieter" herunter! Dieses eBook unterstützt Sie bei der Auswahl eines für Sie geeigneten Pentest-Dienstleisters.

Die Suche nach dem richtigen Anbieter für Pentests kann einen problematischen Prozess darstellen, insbesondere für diejenigen, die mit IT-Sicherheit nicht vertraut sind. Was benötige ich? Wie weiß ich, wer genügend technische Expertise vorweisen kann? Wie identifiziere ich unqualifizierte Anbieter? Wie erkenne ich gute Reputation und Kompetenz? Wie sollte die Dokumentation aussehen?

In diesem eBook nennen wir Ihnen 6 Fragen, die Sie potentiellen Dienstleistern Ihres nächsten Pentests stellen sollten. Sie werden wissen, worauf Sie bei der Anbieterauswahl achten müssen, wie Sie die verschiedenen Angebote vergleichen können und schließlich die beste Wahl für Ihre speziellen Anforderungen treffen können.

Laden Sie sich unser kostenloses eBook "Den richtigen Pentest-Anbieter finden" herunter:
eBook

Neugierig? Überzeugt? Interessiert?

Vereinbaren Sie ein unverbindliches Erstgespräch mit einem unserer Vertriebsmitarbeiter. Nutzen Sie den folgenden Link um einen Termin auszuwählen:

 Termin vereinbaren

Schreiben Sie uns alternativ eine Nachricht. Fordern Sie noch heute einen Beispielbericht oder unser Leistungsportfolio an. Wir beraten Sie gerne!