Ein Penetration Test oder Mobile Security Test für eine Anwendung ist eine umfassende Sicherheitsanalyse mit allen zusammenhängenden Komponenten.
Mithilfe der Analyse im Rahmen des Mobile Security Tests werden Sicherheitslücken identifiziert, indem reale Angriffe mit Methoden und Techniken echter vorgenommen werden.
Dabei kommen sowohl manuelle als auch automatisierte Testverfahren zum Einsatz. Neben der Mobilen Anwendung werden zudem Abhängigkeiten zu Endpunkten, die durch die Applikation verwendet werden, mit analysiert. Darüber hinaus wird das mobile Endgerät, auf dem die Applikation installiert ist, und die zugehörige Plattform (IOS,Android) mit im Mobile Security Test berücksichtigt, um ein ganzheitliches Bild der Angriffsvektoren zu erhalten. Denn eine sichere Anwendung in der heutigen Zeit reicht nicht aus. Vielmehr muss auch die Umgebung (Environment) betrachtet werden, um eine umfassende Sicherheit zu gewährleisten. Dafür sind die Angriffsvektoren zu vielfältig.
Um dieses Volumen und alle Felder abdecken zu können, richtet man sich bestenfalls an bestehende, ausgereifte und umfangreiche Testverfahren oder Leitfäden wie den OWASP Mobile Security Testing Guide (MSTG) oder aber den OWASP Mobile Application Security Verification Standard (MASVS).
Oftmals ist den meisten nicht bewusst, welche Sicherheitslücken in Applikationen bestehen und wie einfach es für Hacker ist, an sensible Daten zu kommen. Mit einem Mobile Security Test können Anfälligkeiten, Schwachstellen oder Sicherheitslücken in Bezug auf eine Mobile Anwendung identifiziert und offengelegt werden.
Alle durchgeführten Maßnahmen der Testverfahren werden genau protokolliert. In einem abschließenden Bericht sind alle identifizierten Sicherheitslücken zusammengefasst und um Empfehlungen und Lösungsansätze auf technischer Ebene zur Schadensminderung oder Behebung des Problems ergänzt. Damit wird letztlich das Ziel angestrebt, das App-Sicherheitsniveau zu verbessern und dem Ernstfall bei einem Angriff vorzubeugen. Vor allem erlangen IT-Abteilungen, Verantwortliche und Führungskräfte ein Verständnis für Risiken, die sich schnell auf Geschäftsabläufe und Prozesse projizieren lassen.
Dadurch kann man zukünftige Entwicklungen unter dem Aspekt Sicherheit besser steuern, um Angriffsvektoren zu minimieren und mit der Entwicklung einfließen zu lassen beziehungsweise zu berücksichtigen.
Der Mobile Security Test hat einen Überblick in Bezug auf Risiken und Eintrittstore für Angreifer oder Hacker zur Folge. Das Ergebnis ist ein Maßnahmenkatalog oder ein Actionplan und beinhaltet prozessuale und organisatorische Maßnahmen zur Behebung der gefunden Sicherheitslücken.
Dadurch gewinnt der Publisher/Entwickler der Mobilen Anwendung einen Mehrwert, vor allem in Bezug auf die Sicherheit der verwendeten Endpunkte, der mobilen Plattform oder das mobile Endgerät, auf dem die Anwendung installiert ist. Denn nur durch eine weitreichende Analyse kann mithilfe des Mobile Security Tests eine Aussage über eine sichere Umgebung bzw. sichere Anwendung gewährleistet werden.
Mobile Anwendungen sind so speziell, dass eine automatisierte Analyse bzw. ein Scan keinen Mehrwert bringt. Manuelle Mobile Security Tests sind unerlässlich, gerade im Hinblick auf ein ganzheitliches Schadensbild der Anwendung und Umgebung. Schließlich können somit reale Szenarien durch Kombination und Verbindung mehrerer komplexer Angriffe aufgezeigt werden, die eine automatisierte Prüfung niemals abdecken kann. Des Weiteren werden auch alle Faktoren mit einbezogen, die eine Bedrohung darstellen könnten, um das bestmögliche an Angriffsvektoren mitgeben zu können.
Der Mobile Security Testing Guide ist eine Entwicklung des Open Web Application Security Projects. Er bietet neben dem Web Security Testing Guide (WSTG) einen ausgereiften Leitfaden und Maßnahmen zur Prüfung aller wichtigen Bestandteile einer Mobilen Anwendung und mehr. Dabei werden unterschiedliche Betriebssystem-Plattformen wie IOS und Android behandelt.
Zusätzlich werden Implementierungen auf ihre Sicherheit überprüft, indem Reverse Engineering Verfahren (Dekompilierung) mit einbezogen werden, die einen Fokus auf “Best Practice“ und “Security by Design“ in der Programmierung legen. Danach richten sich unter anderem Prüfungen anhand von manuellen Code-Analysen, um damit Konfigurationsschwächen oder andere Schwachpunkte in der Programmierung aufzudecken. Ein weiterer großer Bestandteil eines Mobile Security Tests ist die Analyse der Kommunikationswege.
Hier werden oftmals Proxies Tools wie BurpSuite von Portswigger oder mitmproxy (Framework für Man in the Middle Angriffe) verwendet, um verschlüsselte Verbindungen auszuhebeln oder aber einzelne Verbindungen an Anfragen zu manipulieren (Intercepting). Dadurch erhält man einen Indikator auf Reaktion und Verhalten der Anwendung durch die gegebene Business Logic der Anwendung. Berechtigungen sind ebenfalls im Prüfdesign enthalten und werden durch diverse Module des Guides behandelt und analysiert, um Fehlkonfigurationen der jeweiligen Plattformen (IOS und Android) aufzudecken.
Des Weiteren werden lokale Dateien, die durch die Anwendung erzeugt und verwendet werden, ebenfalls betrachtet. Der Mobile Security Testing Guide deckt somit viele Bestandteile und Funktionen einer Mobile Applikation ab, die bestehen können.
Der Mobile Security Testing Guide richtet sich nach verschiedenen Modulen und Prüfungen und damit einhergehenden Prüftiefen. Im Gegensatz zur abgespeckten Testvariante des Mobile Top Ten (OWASP) Leitfadens richtet sich der Mobile Security Testing Guide (MSTG) nach mehr Prüfbestandteilen, basierend auf dem Funktionsumfang einer mobilen Anwendung. Damit werden alle relevanten Aspekte und Funktionen im Fokus der Prüfung mit einbezogen, um umfangreiche Sicherheitsanalysen zu gewährleisten.
Folgende Bestandteile stellen eine Übersicht anhand des Prüfdesigns dar:
Weitere Themen können zusätzlich behandelt werden:
Der OWASP Mobile Application Security Verification Standard (MASVS) ist, wie der Name schon sagt, ein Standard für die Sicherheit mobiler Anwendungen und bietet neben dem Mobile Security Testing Guide Themen in Bezug auf Implementierung und Entwicklung. Er kann von Architekten und Entwicklern mobiler Softwares verwendet werden, die eine sichere mobile Anwendung entwickeln wollen, sowie von Sicherheitstestern, um die Vollständigkeit und Konsistenz der Testergebnisse während der Entwicklungsphase zu gewährleisten.
Themen oder Bestandteile des MASVS sind:
Anhand des Umfangs der zu prüfenden Bestandteile beziehungsweise Gegebenheiten einer mobilen Anwendung wählt der Penetrationtester seine Tools nach einer ersten Betrachtung aus, um die jeweiligen Angriffsvektoren aufzuzeigen. Im Kern werden mehrere unabhängig voneinander existierende Tools für Reverse Engineering, die Mobile Plattform Analyse oder Kommunikationsanalysen verwendet. Da viele Angriffsvektoren mit Reverse Engineering Verfahren aufgedeckt werden können, basieren die meisten dieser Tools auf Entwicklerwerkzeugen, um die Installationsdatei einer mobilen Anwendung mit all Ihren Bestandteilen zu dekompilieren, um sie anschließend in der Tiefe zu analysieren.
Folgende Tools können angewendet werden:
