Mobile Application Pentest – Apps auf Sicherheitslücken testen

Neue Technologien bergen immer neue Sicherheitsrisiken und Mobile Computing ist da keine Ausnahme. Wir helfen Ihnen, die Angriffsmöglichkeiten auf Ihren mobilen Apps mit einem Pentest zu eliminieren.

Definition und Erklärung

Was ist Mobile App Penetration Testing?

Mobile App Penetration Testing ist ein Verfahren zur Bewertung der Sicherheit von mobilen Applikationen - kurz App. Wir führen Mobile-Pentesting nach dem OWASP Mobile Security Testing Guide durch. Digitale Geschäftsmodelle, die Verarbeitung sensibler Informationen und eine sichere Abwicklung der Interoperabilität zwischen verschiedenen APIs machen eine Analyse unverzichtbar.

mobile apps

Was sind häufige Schwachstellen in mobilen Apps?

Schwachstellen in mobilen Apps gefährden die Sicherheit sensibler Daten und die Integrität von Unternehmenssystemen. Das ermöglicht es Angreifern, Identitäten zu übernehmen, Funktionen zu missbrauchen oder schädlichen Code einzuschleusen. Ein umfassender Mobile App Pentest deckt diese Risiken auf und hilft, sie gezielt zu beheben.

Unsichere Kommunikation
Wenn Apps Daten unverschlüsselt oder mit fehlerhafter Verschlüsselung übertragen, etwa über unsichere WLAN-Netzwerke oder veraltete Protokolle. Angreifer können so vertrauliche Informationen wie Passwörter, Finanzdaten oder Geschäftsinterna abfangen und missbrauchen.
Unsichere Datenspeicherung
Wenn Apps sensible Informationen wie Zugangsdaten, Tokens oder persönliche Daten ungeschützt auf dem Gerät ablegen, etwa im Klartext oder ohne Zugriffsbeschränkungen. Andere Apps oder unbefugte Nutzer können diese Daten auslesen, wenn das Gerät verloren geht oder kompromittiert wird.
Unzureichende Verschlüsselung
Das betrifft sowohl die Datenübertragung als auch die lokale Speicherung auf dem Gerät.
Schwache oder veraltete Algorithmen
Falsch implementierte Kryptografie ermöglichen es Angreifern, gespeicherte Daten zu entschlüsseln oder zu manipulieren.
Fehlerhafte Authentifizierung
Unzureichende Autorisierung
Schwachstellen im Code-Schwachstellen
Mangelnde Absicherung gegen Reverse Engineering.

Strategien zur Abwehr

Maßnahmen zur Resilienz gegen Reverse Engineering

Quellcode-Verschleierung
Quellcode-Verschleierung erschwert Angreifern das Verständnis der internen Logik einer mobilen App und schützt geistiges Eigentum. Entwickler nutzen spezielle Tools, um Variablennamen, Kontrollstrukturen und Funktionsaufrufe zu verschleiern, sodass Reverse Engineering deutlich aufwendiger wird.
Anti-Tampering-Technologien
Anti-Tampering-Technologien erkennen Manipulationsversuche an der App, etwa durch Modifikation des Codes oder das Einfügen von Schadfunktionen. Die App kann sich bei Manipulation automatisch beenden oder Alarm schlagen, um Missbrauch zu verhindern.
Sicherheitsprüfungen
Sicherheitsprüfungen im Rahmen eines Mobile App Pentests bewerten, wie wirksam diese Maßnahmen gegen Reverse Engineering und Manipulation schützen. Experten analysieren, ob Verschleierung und Anti-Tampering korrekt implementiert und gegen aktuelle Angriffsmethoden robust sind. Die Kombination beider Maßnahmen erhöht die Resilienz der App und erschwert es Angreifern, Schwachstellen zu identifizieren oder Schadcode einzuschleusen.

Prüfung von Authentifizierungs- und Autorisierungs-Mechanismen in mobilen Apps

Wir analysieren zunächst, wie die App Anmeldeinformationen verarbeitet und ob starke Authentifizierungsmethoden wie Passwörter, biometrische Verfahren oder Zwei-Faktor-Authentifizierung (2FA) korrekt implementiert sind. Wir prüfen, ob Passwörter sicher übertragen und niemals im Klartext gespeichert werden. Unsere Analyse der lokalen Speicherung deckt unsichere Praktiken wie das Ablegen von Zugangsdaten im Klartext oder in unsicheren Speicherbereichen auf.
Authentifizierung
Im nächsten Schritt simulieren wir verschiedene Angriffsszenarien, um Schwachstellen in der Authentifizierung zu identifizieren. Dazu zählen Brute-Force-Angriffe, das Umgehen von Login-Mechanismen oder das Abfangen von Authentifizierungsdaten über unsichere Netzwerke. Diese versuchen, mit manipulierten Requests oder gefälschten Tokens Zugriff auf geschützte Bereiche der App zu erhalten. Die Prüfung umfasst auch, ob Sitzungen sicher verwaltet werden und Session-Tokens nicht leicht erraten oder wiederverwendet werden können.
Autorisierung
Bei der Autorisierung testen unsere Experten, ob die App Benutzerrechte strikt serverseitig prüft und keine privilegierten Funktionen für normale Nutzer zugänglich sind. Wir versuchen, mit niedrigen Berechtigungen Aktionen auszuführen, die eigentlich höheren Rollen vorbehalten sind. Dabei manipulieren wir etwa API-Requests oder tauschen Benutzer-IDs aus. Unsichere Implementierungen, wie die Prüfung von Berechtigungen nur auf der Client-Seite, decken wir gezielt auf, weil Angreifer diese einfach umgehen können
Anerkannten Standards wie OWASP MASVS
Unsere Prüfungen erfolgen nach anerkannten Standards wie OWASP MASVS und beinhalten sowohl automatisierte als auch manuelle Methoden, um Schwachstellen zuverlässig zu identifizieren. Abschließend dokumentieren wir die gefundenen Lücken und geben Ihnen konkrete Empfehlungen, wie Sie Authentifizierungs- und Autorisierungsmechanismen stärken können, um unbefugten Zugriff wirksam zu verhindern.

iOS- und Android-Penetration-Test

Penetration Tests für alle mobilen Anwendungen

Unsere Mobile-App-Penetration-Tester haben einen Hintergrund im Bereich Infrastruktur- und Web-Penetration-Test, eine Qualität, die für das Testen mobiler Apps notwendig ist, denn fast jede App kommuniziert mit einem Backend-System. Diese Expertise ist essenziell, da wir somit das gesamte Spektrum von nativen Apps, hybriden Apps, Web Apps und progressiven Webanwendungen überprüfen können.

Mobile Cyber Security

Schützen Sie Ihre Benutzer vor Kriminellen mit Cyber Security!

Wir stellen sicher, dass eine Fremdnutzung von Nutzerdaten wie Nachrichten, persönliche Daten, Adressbüchern, Standort und Bewegungsprofile nicht möglich ist. So schützen wir Ihre Daten vor Verlust und prüfen die Einhaltung von starker Cyber Security.

Ganzheitliche Betrachtung der Schnittstellen
Die Sicherheit der interagierenden Server sowie die Schnittstelle zwischen dem mobilen Endgerät und dem Server müssen ausgiebig getestet werden, um eine reibungslose Interoperabilität zu garantieren.
Mobilespezifische Testungen
Wir stellen sicher, dass eine Fremdnutzung von Nutzerdaten wie Nachrichten, persönliche Daten, Adressbüchern, Standort und Bewegungsprofile nicht möglich ist.
Statische- und Dynamische-Analysen
Die Überprüfungen decken Statische- und Dynamische-Analysen ab.
cyber security

Erfahren Sie mehr über die Durchführung von Penetration Tests mit turingpoint!

Penetrationstest für alle mobilen Apps

Penetrationstest-Module für iOS und Android

Grundsätzlich gilt, je länger unsere Security Engineers Ihre App einem Penetrationstest unterziehen, desto aussagekräftiger sind die Ergebnisse. Sollten Sie spezielle Ansprüche haben, machen wir Ihnen gerne ein individuelles Angebot.

Architektur, Design und Bedrohungsanalysen

Für jede Komponente der App müssen Funktionsumfang und Sicherheitsfunktionen klar definiert und bekannt sein. Die meisten Apps kommunizieren mit Schnittstellen, deshalb müssen auch für diese API-Endpunkte angemessene Security Standards umgesetzt sein.

Datenspeicherung und Datenschutz

Der Schutz sensibler Daten wie Nutzer-Anmeldedaten und privaten Informationen ist ein Schwerpunkt im Bereich mobiler Sicherheit. Datenlecks können ungewollt im Bereich Cloud-Daten-Speicherung, Backups oder dem Tastatur-Cache auftreten. Darüber hinaus können mobile Geräte leichter verloren gehen oder gestohlen werden.

Kryptographie

Kryptographie ist ein wesentlicher Eckpfeiler zum Schutz von Daten, die auf mobilen Geräten gespeichert werden. Es ist aber auch eine Kategorie, bei der vieles falsch gemacht werden kann, besonders wenn man keine Standard-Konventionen einhält. Die Kategorie soll sicherstellen, dass eine überprüfte App Kryptographie-Best-Practices nutzt.

Netzwerkkommunikation

Der Zweck dieser Kategorie ist es, die Vertraulichkeit und Integrität übertragener Daten zwischen mobiler App und entferntem Server zu gewährleisten. Dazu muss eine mobile App einen sicheren, verschlüsselten Kanal zur Netzwerkkommunikation unter Nutzung des TLS-Protokolls mit adäquaten TLS-Einstellungen aufbauen.

Plattform-Interaktion

Die Anforderungen aus dieser Kategorie sollen sicherstellen, dass Plattform-Komponenten und Standard-Komponenten von der App auf sichere Weise genutzt werden. Zusätzlich decken die Anforderungen auch die Kommunikation (IPC) zwischen Apps ab.

Code-Qualität und Build-Einstellungen

Das Ziel dieser Kategorie ist, sicherzustellen, dass bei der App-Entwicklung Basis-Security-Praktiken eingehalten werden und die enthaltenen Sicherheitsfunktionen des Compilers aktiviert sind.

Manipulationssicherheit

Diese Kategorie behandelt Defense-in-Depth-Maßnahmen empfohlen für Apps, die Zugriff auf sensible Daten oder sensible Funktionalitäten beinhalten. Sind diese Maßnahmen nicht umgesetzt, führt dies nicht unmittelbar zu einer Schwachstelle, jedoch erhöhen die Maßnahmen die Robustheit der App gegen Angriffe und Reverse Engineering.

Aktuelle Informationen

Aktuelle Blog-Artikel

Unsere Mitarbeiter veröffentlichen regelmäßig Artikel zum Thema IT-Security

Kontakt

Neugierig? Überzeugt? Interessiert?

Vereinbaren Sie ein unverbindliches Erstgespräch mit einem unserer Vertriebsmitarbeiter. Nutzen Sie den folgenden Link, um einen Termin auszuwählen: