Mobile Application Pentest – Apps auf Sicherheitslücken testen
Neue Technologien bergen immer neue Sicherheitsrisiken und Mobile Computing ist da keine Ausnahme. Wir helfen Ihnen, die Angriffsmöglichkeiten auf Ihren mobilen Apps mit einem Pentest zu eliminieren.
Definition und Erklärung
Was ist Mobile App Penetration Testing?
Mobile App Penetration Testing ist ein Verfahren zur Bewertung der Sicherheit von mobilen Applikationen - kurz App. Wir führen Mobile-Pentesting nach dem OWASP Mobile Security Testing Guide durch. Digitale Geschäftsmodelle, die Verarbeitung sensibler Informationen und eine sichere Abwicklung der Interoperabilität zwischen verschiedenen APIs machen eine Analyse unverzichtbar.
Was sind häufige Schwachstellen in mobilen Apps?
Schwachstellen in mobilen Apps gefährden die Sicherheit sensibler Daten und die Integrität von Unternehmenssystemen. Das ermöglicht es Angreifern, Identitäten zu übernehmen, Funktionen zu missbrauchen oder schädlichen Code einzuschleusen. Ein umfassender Mobile App Pentest deckt diese Risiken auf und hilft, sie gezielt zu beheben.
- Unsichere Kommunikation
- Wenn Apps Daten unverschlüsselt oder mit fehlerhafter Verschlüsselung übertragen, etwa über unsichere WLAN-Netzwerke oder veraltete Protokolle. Angreifer können so vertrauliche Informationen wie Passwörter, Finanzdaten oder Geschäftsinterna abfangen und missbrauchen.
- Unsichere Datenspeicherung
- Wenn Apps sensible Informationen wie Zugangsdaten, Tokens oder persönliche Daten ungeschützt auf dem Gerät ablegen, etwa im Klartext oder ohne Zugriffsbeschränkungen. Andere Apps oder unbefugte Nutzer können diese Daten auslesen, wenn das Gerät verloren geht oder kompromittiert wird.
- Unzureichende Verschlüsselung
- Das betrifft sowohl die Datenübertragung als auch die lokale Speicherung auf dem Gerät.
- Schwache oder veraltete Algorithmen
- Falsch implementierte Kryptografie ermöglichen es Angreifern, gespeicherte Daten zu entschlüsseln oder zu manipulieren.
- Fehlerhafte Authentifizierung
- Unzureichende Autorisierung
- Schwachstellen im Code-Schwachstellen
- Mangelnde Absicherung gegen Reverse Engineering.
Strategien zur Abwehr
Maßnahmen zur Resilienz gegen Reverse Engineering
- Quellcode-Verschleierung
- Quellcode-Verschleierung erschwert Angreifern das Verständnis der internen Logik einer mobilen App und schützt geistiges Eigentum. Entwickler nutzen spezielle Tools, um Variablennamen, Kontrollstrukturen und Funktionsaufrufe zu verschleiern, sodass Reverse Engineering deutlich aufwendiger wird.
- Anti-Tampering-Technologien
- Anti-Tampering-Technologien erkennen Manipulationsversuche an der App, etwa durch Modifikation des Codes oder das Einfügen von Schadfunktionen. Die App kann sich bei Manipulation automatisch beenden oder Alarm schlagen, um Missbrauch zu verhindern.
- Sicherheitsprüfungen
- Sicherheitsprüfungen im Rahmen eines Mobile App Pentests bewerten, wie wirksam diese Maßnahmen gegen Reverse Engineering und Manipulation schützen. Experten analysieren, ob Verschleierung und Anti-Tampering korrekt implementiert und gegen aktuelle Angriffsmethoden robust sind. Die Kombination beider Maßnahmen erhöht die Resilienz der App und erschwert es Angreifern, Schwachstellen zu identifizieren oder Schadcode einzuschleusen.
Prüfung von Authentifizierungs- und Autorisierungs-Mechanismen in mobilen Apps
- Authentifizierung
- Im nächsten Schritt simulieren wir verschiedene Angriffsszenarien, um Schwachstellen in der Authentifizierung zu identifizieren. Dazu zählen Brute-Force-Angriffe, das Umgehen von Login-Mechanismen oder das Abfangen von Authentifizierungsdaten über unsichere Netzwerke. Diese versuchen, mit manipulierten Requests oder gefälschten Tokens Zugriff auf geschützte Bereiche der App zu erhalten. Die Prüfung umfasst auch, ob Sitzungen sicher verwaltet werden und Session-Tokens nicht leicht erraten oder wiederverwendet werden können.
- Autorisierung
- Bei der Autorisierung testen unsere Experten, ob die App Benutzerrechte strikt serverseitig prüft und keine privilegierten Funktionen für normale Nutzer zugänglich sind. Wir versuchen, mit niedrigen Berechtigungen Aktionen auszuführen, die eigentlich höheren Rollen vorbehalten sind. Dabei manipulieren wir etwa API-Requests oder tauschen Benutzer-IDs aus. Unsichere Implementierungen, wie die Prüfung von Berechtigungen nur auf der Client-Seite, decken wir gezielt auf, weil Angreifer diese einfach umgehen können
- Anerkannten Standards wie OWASP MASVS
- Unsere Prüfungen erfolgen nach anerkannten Standards wie OWASP MASVS und beinhalten sowohl automatisierte als auch manuelle Methoden, um Schwachstellen zuverlässig zu identifizieren. Abschließend dokumentieren wir die gefundenen Lücken und geben Ihnen konkrete Empfehlungen, wie Sie Authentifizierungs- und Autorisierungsmechanismen stärken können, um unbefugten Zugriff wirksam zu verhindern.
iOS- und Android-Penetration-Test
Penetration Tests für alle mobilen Anwendungen
Unsere Mobile-App-Penetration-Tester haben einen Hintergrund im Bereich Infrastruktur- und Web-Penetration-Test, eine Qualität, die für das Testen mobiler Apps notwendig ist, denn fast jede App kommuniziert mit einem Backend-System. Diese Expertise ist essenziell, da wir somit das gesamte Spektrum von nativen Apps, hybriden Apps, Web Apps und progressiven Webanwendungen überprüfen können.
Mobile Cyber Security
Schützen Sie Ihre Benutzer vor Kriminellen mit Cyber Security!
Wir stellen sicher, dass eine Fremdnutzung von Nutzerdaten wie Nachrichten, persönliche Daten, Adressbüchern, Standort und Bewegungsprofile nicht möglich ist. So schützen wir Ihre Daten vor Verlust und prüfen die Einhaltung von starker Cyber Security.
- Ganzheitliche Betrachtung der Schnittstellen
- Die Sicherheit der interagierenden Server sowie die Schnittstelle zwischen dem mobilen Endgerät und dem Server müssen ausgiebig getestet werden, um eine reibungslose Interoperabilität zu garantieren.
- Mobilespezifische Testungen
- Wir stellen sicher, dass eine Fremdnutzung von Nutzerdaten wie Nachrichten, persönliche Daten, Adressbüchern, Standort und Bewegungsprofile nicht möglich ist.
- Statische- und Dynamische-Analysen
- Die Überprüfungen decken Statische- und Dynamische-Analysen ab.
Maßgeschneiderte IT-Sicherheitsanalysen
Wir führen IT-Sicherheitsanalysen auf Basis von anerkannten Standards und Richtlinien durch
Unsere Prozesse sind an den Praxis-Leitfaden für Pentests des Bundesamts für Informationssicherheit (BSI) und an die EU-DSGVO angepasst.
- Standarmäßig OWASP MASVS
- Das Testen von mobilen Apps verläuft nach der Kategorisierung von dem MASVS (Mobile Application Security Verification Standard)
- OWASP Mobile Top 10
- Die OWASP Mobile Top 10 ist eine Liste der dringlichsten Schwachstellen, vor denen Sie mobile Anwendungen schützen sollten.
- Prüfung von medizinischen Produkten und Gesundheits-Apps
- Wir haben Erfahrung in der Prüfung von medizinischen Produkten und digitalen Gesundheitsanwendungen für eine DiGa-Akkreditierung.
Erfahren Sie mehr über die Durchführung von Penetration Tests mit turingpoint!
Penetrationstest für alle mobilen Apps
Penetrationstest-Module für iOS und Android
Grundsätzlich gilt, je länger unsere Security Engineers Ihre App einem Penetrationstest unterziehen, desto aussagekräftiger sind die Ergebnisse. Sollten Sie spezielle Ansprüche haben, machen wir Ihnen gerne ein individuelles Angebot.
- Architektur, Design und Bedrohungsanalysen
Für jede Komponente der App müssen Funktionsumfang und Sicherheitsfunktionen klar definiert und bekannt sein. Die meisten Apps kommunizieren mit Schnittstellen, deshalb müssen auch für diese API-Endpunkte angemessene Security Standards umgesetzt sein.
- Datenspeicherung und Datenschutz
Der Schutz sensibler Daten wie Nutzer-Anmeldedaten und privaten Informationen ist ein Schwerpunkt im Bereich mobiler Sicherheit. Datenlecks können ungewollt im Bereich Cloud-Daten-Speicherung, Backups oder dem Tastatur-Cache auftreten. Darüber hinaus können mobile Geräte leichter verloren gehen oder gestohlen werden.
- Kryptographie
Kryptographie ist ein wesentlicher Eckpfeiler zum Schutz von Daten, die auf mobilen Geräten gespeichert werden. Es ist aber auch eine Kategorie, bei der vieles falsch gemacht werden kann, besonders wenn man keine Standard-Konventionen einhält. Die Kategorie soll sicherstellen, dass eine überprüfte App Kryptographie-Best-Practices nutzt.
- Netzwerkkommunikation
Der Zweck dieser Kategorie ist es, die Vertraulichkeit und Integrität übertragener Daten zwischen mobiler App und entferntem Server zu gewährleisten. Dazu muss eine mobile App einen sicheren, verschlüsselten Kanal zur Netzwerkkommunikation unter Nutzung des TLS-Protokolls mit adäquaten TLS-Einstellungen aufbauen.
- Plattform-Interaktion
Die Anforderungen aus dieser Kategorie sollen sicherstellen, dass Plattform-Komponenten und Standard-Komponenten von der App auf sichere Weise genutzt werden. Zusätzlich decken die Anforderungen auch die Kommunikation (IPC) zwischen Apps ab.
- Code-Qualität und Build-Einstellungen
Das Ziel dieser Kategorie ist, sicherzustellen, dass bei der App-Entwicklung Basis-Security-Praktiken eingehalten werden und die enthaltenen Sicherheitsfunktionen des Compilers aktiviert sind.
- Manipulationssicherheit
Diese Kategorie behandelt Defense-in-Depth-Maßnahmen empfohlen für Apps, die Zugriff auf sensible Daten oder sensible Funktionalitäten beinhalten. Sind diese Maßnahmen nicht umgesetzt, führt dies nicht unmittelbar zu einer Schwachstelle, jedoch erhöhen die Maßnahmen die Robustheit der App gegen Angriffe und Reverse Engineering.
Aktuelle Informationen
Aktuelle Blog-Artikel
Unsere Mitarbeiter veröffentlichen regelmäßig Artikel zum Thema IT-Security
Kontakt
Neugierig? Überzeugt? Interessiert?
Vereinbaren Sie ein unverbindliches Erstgespräch mit einem unserer Vertriebsmitarbeiter. Nutzen Sie den folgenden Link, um einen Termin auszuwählen: