Mobile Security Test und Mobile Application Penetration Test

Was ist ein Mobile Security Test oder Pentest Mobile Application?

Ein Penetration Test oder Mobile Security Test für eine Anwendung ist eine umfassende Sicherheitsanalyse mit allen zusammenhängenden Komponenten.

Mithilfe der Analyse im Rahmen des Mobile Security Tests werden Sicherheitslücken identifiziert, indem reale Angriffe mit Methoden und Techniken echter vorgenommen werden.

Dabei kommen sowohl manuelle als auch automatisierte Testverfahren zum Einsatz. Neben der Mobilen Anwendung werden zudem Abhängigkeiten zu Endpunkten, die durch die Applikation verwendet werden, mit analysiert. Darüber hinaus wird das mobile Endgerät, auf dem die Applikation installiert ist, und die zugehörige Plattform (IOS,Android) mit im Mobile Security Test berücksichtigt, um ein ganzheitliches Bild der Angriffsvektoren zu erhalten. Denn eine sichere Anwendung in der heutigen Zeit reicht nicht aus. Vielmehr muss auch die Umgebung (Environment) betrachtet werden, um eine umfassende Sicherheit zu gewährleisten. Dafür sind die Angriffsvektoren zu vielfältig.

Um dieses Volumen und alle Felder abdecken zu können, richtet man sich bestenfalls an bestehende, ausgereifte und umfangreiche Testverfahren oder Leitfäden wie den OWASP Mobile Security Testing Guide (MSTG) oder aber den OWASP Mobile Application Security Verification Standard (MASVS).

OWASP Mobile Security Testing
OWASP mobile security

Die Vorteile eines Mobile Security Test

Oftmals ist den meisten nicht bewusst, welche Sicherheitslücken in Applikationen bestehen und wie einfach es für Hacker ist, an sensible Daten zu kommen. Mit einem Mobile Security Test können Anfälligkeiten, Schwachstellen oder Sicherheitslücken in Bezug auf eine Mobile Anwendung identifiziert und offengelegt werden. 

Alle durchgeführten Maßnahmen der Testverfahren werden genau protokolliert. In einem abschließenden Bericht sind alle identifizierten Sicherheitslücken zusammengefasst und um Empfehlungen und Lösungsansätze auf technischer Ebene zur Schadensminderung oder Behebung des Problems ergänzt. Damit wird letztlich das Ziel angestrebt, das App-Sicherheitsniveau zu verbessern und dem Ernstfall bei einem Angriff vorzubeugen. Vor allem erlangen IT-Abteilungen, Verantwortliche und Führungskräfte ein Verständnis für Risiken, die sich schnell auf Geschäftsabläufe und Prozesse projizieren lassen. 

Dadurch kann man zukünftige Entwicklungen unter dem Aspekt Sicherheit besser steuern, um Angriffsvektoren zu minimieren und mit der Entwicklung einfließen zu lassen beziehungsweise zu berücksichtigen.

Welchen Umfang oder Nutzen bietet das Ergebnis eines Mobile Security Tests?

Der Mobile Security Test hat einen Überblick in Bezug auf Risiken und Eintrittstore für Angreifer oder Hacker zur Folge. Das Ergebnis ist ein Maßnahmenkatalog oder ein Actionplan und beinhaltet prozessuale und organisatorische Maßnahmen zur Behebung der gefunden Sicherheitslücken. 

Dadurch gewinnt der Publisher/Entwickler der Mobilen Anwendung einen Mehrwert, vor allem in Bezug auf die Sicherheit der verwendeten Endpunkte, der mobilen Plattform oder das mobile Endgerät, auf dem die Anwendung installiert ist. Denn nur durch eine weitreichende Analyse kann mithilfe des Mobile Security Tests eine Aussage über eine sichere Umgebung bzw. sichere Anwendung gewährleistet werden.

Mobile Anwendungen sind so speziell, dass eine automatisierte Analyse bzw. ein Scan keinen Mehrwert bringt. Manuelle Mobile Security Tests sind unerlässlich, gerade im Hinblick auf ein ganzheitliches Schadensbild der Anwendung und Umgebung. Schließlich können somit reale Szenarien durch Kombination und Verbindung mehrerer komplexer Angriffe aufgezeigt werden, die eine automatisierte Prüfung niemals abdecken kann. Des Weiteren werden auch alle Faktoren mit einbezogen, die eine Bedrohung darstellen könnten, um das bestmögliche an Angriffsvektoren mitgeben zu können.

Wie erfolgt ein Mobile Security Test nach dem OWASP Mobile Security Testing Guide (MSTG)?

Der Mobile Security Testing Guide ist eine Entwicklung des Open Web Application Security Projects. Er bietet neben dem Web Security Testing Guide (WSTG) einen ausgereiften Leitfaden und Maßnahmen zur Prüfung aller wichtigen Bestandteile einer Mobilen Anwendung und mehr. Dabei werden unterschiedliche Betriebssystem-Plattformen wie IOS und Android behandelt. 

Zusätzlich werden Implementierungen auf ihre Sicherheit überprüft, indem Reverse Engineering Verfahren (Dekompilierung) mit einbezogen werden, die einen Fokus auf “Best Practice“ und “Security by Design“ in der Programmierung legen. Danach richten sich unter anderem Prüfungen anhand von manuellen Code-Analysen, um damit Konfigurationsschwächen oder andere Schwachpunkte in der Programmierung aufzudecken. Ein weiterer großer Bestandteil eines Mobile Security Tests ist die Analyse der Kommunikationswege.

Hier werden oftmals Proxies Tools wie BurpSuite von Portswigger oder mitmproxy (Framework für Man in the Middle Angriffe) verwendet, um verschlüsselte Verbindungen auszuhebeln oder aber einzelne Verbindungen an Anfragen zu manipulieren (Intercepting). Dadurch erhält man einen Indikator auf Reaktion und Verhalten der Anwendung durch die gegebene Business Logic der Anwendung. Berechtigungen sind ebenfalls im Prüfdesign enthalten und werden durch diverse Module des Guides behandelt und analysiert, um Fehlkonfigurationen der jeweiligen Plattformen (IOS und Android) aufzudecken.

Des Weiteren werden lokale Dateien, die durch die Anwendung erzeugt und verwendet werden, ebenfalls betrachtet. Der Mobile Security Testing Guide deckt somit viele Bestandteile und Funktionen einer Mobile Applikation ab, die bestehen können.

Ist deine App ausreichend geschützt?
Teste jetzt deine App durch einen professionellen Penetrationstest!
Zum Penetrationstest

Bestandteile des Mobile Security Testing Guide

Der Mobile Security Testing Guide richtet sich nach verschiedenen Modulen und Prüfungen und damit einhergehenden Prüftiefen. Im Gegensatz zur abgespeckten Testvariante des Mobile Top Ten (OWASP) Leitfadens richtet sich der Mobile Security Testing Guide (MSTG) nach mehr Prüfbestandteilen, basierend auf dem Funktionsumfang einer mobilen Anwendung. Damit werden alle relevanten Aspekte und Funktionen im Fokus der Prüfung mit einbezogen, um umfangreiche Sicherheitsanalysen zu gewährleisten.

 

Folgende Bestandteile stellen eine Übersicht anhand des Prüfdesigns dar:

  • Mobile Plattform Analyse
  • Sicherheitstests im Lebenszyklus der Entwicklung mobiler Anwendungen
  • Grundlegende statische und dynamische Sicherheitstests
  • Reverse Engineering und Manipulationen von mobilen Anwendungen und Umgebung
  • Bewertung von Softwareschutzmaßnahmen und Umgebung/Endgeräte
  • Darüber hinaus noch viele mehr!

Weitere Themen können zusätzlich behandelt werden:

  • Detaillierte Testfälle, die sich an den Anforderungen des MASVS orientieren.

Was ist der OWASP Mobile Application Security Verification Standard?

Der OWASP Mobile Application Security Verification Standard (MASVS) ist, wie der Name schon sagt, ein Standard für die Sicherheit mobiler Anwendungen und bietet neben dem Mobile Security Testing Guide Themen in Bezug auf Implementierung und Entwicklung. Er kann von Architekten und Entwicklern mobiler Softwares verwendet werden, die eine sichere mobile Anwendung entwickeln wollen, sowie von Sicherheitstestern, um die Vollständigkeit und Konsistenz der Testergebnisse während der Entwicklungsphase zu gewährleisten.

Themen oder Bestandteile des MASVS sind:

  • Bereitstellung eines Sicherheitsstandards, mit dem vorhandene mobile Anwendungen von Entwicklern und Anwendungseignern verglichen werden können;
  • Bereitstellung von Leitlinien für alle Phasen der Entwicklung und Prüfung mobiler Anwendungen;
  • Bereitstellung einer Grundlage für die Überprüfung der Sicherheit mobiler Anwendungen (agiler Mobile Security Test in der Entwicklungszeit).
Du möchtest eine individuelle Beratung?
Kontaktiere uns über unser Formular oder ruf uns an!
Jetzt kontaktieren

Welche Mobile Security Testing Tools werden für einen Penetrationtest verwendet?

Anhand des Umfangs der zu prüfenden Bestandteile beziehungsweise Gegebenheiten einer mobilen Anwendung wählt der Penetrationtester seine Tools nach einer ersten Betrachtung aus, um die jeweiligen Angriffsvektoren aufzuzeigen. Im Kern werden mehrere unabhängig voneinander existierende Tools für Reverse Engineering, die Mobile Plattform Analyse oder Kommunikationsanalysen verwendet. Da viele Angriffsvektoren mit Reverse Engineering Verfahren aufgedeckt werden können, basieren die meisten dieser Tools auf Entwicklerwerkzeugen, um die Installationsdatei einer mobilen Anwendung mit all Ihren Bestandteilen zu dekompilieren, um sie anschließend in der Tiefe zu analysieren.

Folgende Tools können angewendet werden:

  • Strings
  • Binarywalk
  • Hashdeep
  • SQLite DB Browser
  • BurpSuite
  • Mitmproxy Framework
ANDERE BEITRÄGE

Inhaltsverzeichnis

Wir verwenden Cookies, um Ihnen die bestmögliche Erfahrung zu bieten. Wenn Sie unsere Website weiterhin besuchen, stimmen Sie der Verwendung von Cookies zu, wie in unserer Datenschutzerklärung beschrieben.