Mobile Application Penetration Testing

Ist meine App sicher?

Standards & Zertifizierungen

Weißt du genau, welche Tests deine App braucht?

Mobile Application Testing Standards wie OWASP MASTG sind dir vermutlich ein Begriff und vielleicht gibt es in deinem Fall gute Gründe, sich genau an einen bestimmten Standard zu halten. Vielleicht benötigst du für deine App auch Sicherheits-Zertifikate wie DIGA oder ISO27001.
Möglicherweise weißt du (noch) nicht genau, welcher Testumfang und welches Vorgehen in deinem speziellen Fall passend ist: Reicht es aus, lediglich die App an sich zu testen, oder sollte beispielsweise auch ein kompromittiertes Mobile Device und dessen Auswirkungen auf die Sicherheit deiner App simuliert werden?

In jedem Fall stehen dir bei ProSec Experten zur Seite, die deine App und dein Unternehmen individuell in den Blick nehmen und mit dir gemeinsam den in deinem Fall sinnvollsten Ablauf und Umfang für das Mobile Application Penetration Testing festlegen. Dabei spielt es keine Rolle, ob es sich um eine native oder hybride App handelt, ob sie nur für eine Zielplatform entwickelt oder beispielsweise mit Flutter als Cross-Platform App gebaut wurde.

Wir unterstützen dich mit Sicherheit (pun intended) dabei,
deine App professionell und nachhaltig stark zu machen gegen Hacking Angriffe.

Individuell und ganzheitlich

So viel Standard wie nötig, so passgenau wie möglich

Unsere Stärke liegt darin, deinen Bedarf durch unsere Erfahrung und unser komplexes Fachwissen genau bestimmen zu können. Wir folgen nicht stur bestehenden Richtlinien, sondern entwerfen unsere eigenen Standards passend zu unseren Kunden.
Wo es sinnvoll ist, folgen wir selbstverständlich den etablierten Standards, um dir beispielsweise benötigte Zertifikate ausstellen zu können.
Von uns bekommst du passenden kontextbezogenen Designs
für DIGA, ISO27001 und weitere Zertifikate.
Die individuelle Abstimmung des Testablaufs schließt auch einen möglichen Re-Test ein. Durch ihn kannst du sicherstellen, dass ihr alle Findings des ersten Tests erfolgreich bearbeiten habt.

Ganzheitliches Mobile Application Penetration Testing

Bei unseren Penetration Tests nehmen wir grundsätzlich das „große Ganze“ in den Blick.

Das bedeutet im Fall der Mobile Application, dass wir zusätzlich zu technischen Schwachstellen den Aspekt eines physischen Diebstahls einbeziehen:
Wir auditieren das Mobile Device und decken mögliche Angriffsvektoren (außerhalb der App, aber immer mit Bezug auf die App) auf.

Bei der technischen Überprüfung nehmen wir sowohl die statischen als auch die dynamischen Aspekte deiner App in den Blick: Enthält der Source Code beispielsweise versehentlich Credentials? Gibt es Schwachstellen in der Kommunikation zwischen App und API?

Konkret umfasst die technische Ebene unseres Mobile Application Penetration Testing folgende Punkte:

  • Runtime Injections & Runtime Analysis
  • Input Validation & Injection Flaws
  • Local/External Storage Analysis & Permission Flaws
  • SQLite & Database Analysis
  • Test der Kryptografischen Funktionen
  • Authentifizierung und Session Management
  • Ganzheitliche Betrachtung der API’s
ProSec Mobile App Pentest
Die technische Ebene unseres Mobile Application Penetration Testing schließt statische und dynamische Aspekte ein.

Realistisches Mobile Application Penetration Testing:

Wir nutzen deine App mit Hacker-Blick

Bei all unseren Pentests gehen wir möglichst realistisch vor und orientieren uns am Verhalten böswilliger Hacker. Denn vorrangig geht es uns darum, dein Unternehmen und die Nutzer eurer App vor diesen Hackern erfolgreich zu schützen – nicht um das formale Erfüllen aller Voraussetzungen für ein Zertifikat.
Unser Ansatz ist dabei so einfach wie effektiv: Wir laden deine App auf unsere Geräte, nutzen sie und machen uns auf die Suche nach möglichen Schwachstellen. So ermitteln wir die Angriffswege, die sich Hackern in deinem speziellen Fall anbieten.

Wenn deine Entwickler Credentials im Source Code vergessen
haben, finden wir sie.

Wenn bei der Nutzung deiner App sensible Dateien unverschlüsselt auf dem Mobilgerät gespeichert werden, finden wir sie.

Wenn deine App Berechtigungsdefizite aufweist, finden wir sie.

Wenn deine App unverschlüsselt kommuniziert, finden wir das
heraus.

Wenn deine App unsichere Requests an das API stellt, finden wir sie
und erweitern unseren Angriffsvektor auf diese Endpunkte.

Wir finden die Schwachstellen deiner App – und helfen dir dabei, sie
zu schließen.

Es ist nie zu spät für Mobile Application Penetration Testing

Hast du gerade eine neue App entwickelt und möchtest vor dem Release sicher gehen, dass deine Nutzer und deren Daten bei der
Verwendung sicher sind? Oder bietet dein Unternehmen eine App an, deren Entwicklung bereits länger zurück liegt und bei der du dich fragst,
ob eventuell Sicherheitsrisiken vorliegen?

Ein Mobile Application Penetration Testing ist in jedem Fall der beste Weg,
um dich vor Angriffen über diesen Weg zu schützen!

Wenn du dich ganz oder teilweise in einer unserer typischen Anfragen wiederfindest, kontaktiere uns gerne für ein unverbindliches Kennenlern-Gespräch!
Wir haben eine eigens entwickelte Website für die Kommunikation mit unseren Kunden. Um die Nutzung zu vereinfachen, haben wir eine Android und iOS Applikation entwickelt, die unsere Website in einem Webview anzeigt. Um sicher zu gehen, dass bei der Umsetzung und Implementierung der App keine Fehler passiert sind oder wir etwas bei der Entwicklung im Code vergessen haben, möchte ich die Apps vor dem Release überprüfen lassen.
Unseren Kunden bieten wir mithilfe einer Mobile Applikation die Möglichkeit, sensitive Daten an uns zu übermitteln. Wir bieten jeweils eine Android und iOS Applikation an. Beide Applikationen wurden jedoch von unterschiedlichen Personenkreisen entwickelt. Die Entwicklung der iOS Applikation ist mittlerweile auch schon einige Jahre her und es gibt niemandem mehr im Unternehmen, der an deren Entwicklung beteiligt war. Um sicherzugehen, dass wir unseren Kunden eine sichere Plattform für den Datenaustausch bereitstellen, möchte ich vor allem die Entwicklung der iOS Applikation überprüfen lassen.