Mobile Application Penetration Testing

Ist meine App sicher?

Standards & Zertifizierungen

Weißt du genau, welche Tests deine App braucht?

Mobile Application Testing Standards wie OWASP MASTG sind dir vermutlich ein Begriff und vielleicht gibt es in deinem Fall gute Gründe, sich genau an einen bestimmten Standard zu halten. Vielleicht benötigst du für deine App auch Sicherheits-Zertifikate wie DIGA oder ISO27001.

Möglicherweise weißt du (noch) nicht genau, welcher Testumfang und welches Vorgehen in deinem speziellen Fall passend ist: Reicht es aus, lediglich die App an sich zu testen, oder sollte beispielsweise auch ein kompromittiertes Mobile Device und dessen Auswirkungen auf die Sicherheit deiner App simuliert werden?

In jedem Fall stehen dir bei ProSec Experten zur Seite, die deine App und dein Unternehmen individuell in den Blick nehmen und mit dir gemeinsam den in deinem Fall sinnvollsten Ablauf und Umfang für das Mobile Application Penetration Testing festlegen. Dabei spielt es keine Rolle, ob es sich um eine native oder hybride App handelt, ob sie nur für eine Zielplatform entwickelt oder beispielsweise mit Flutter als Cross-Platform App gebaut wurde.

Wir unterstützen dich mit Sicherheit (pun intended) dabei,
deine App professionell und nachhaltig stark zu machen gegen Hacking Angriffe.

Individuell und ganzheitlich

So viel Standard wie nötig, so passgenau wie möglich

Unsere Stärke liegt darin, deinen Bedarf durch unsere Erfahrung und unser komplexes Fachwissen genau bestimmen zu können. Wir folgen nicht stur bestehenden Richtlinien, sondern entwerfen unsere eigenen Standards passend zu unseren Kunden.

Wo es sinnvoll ist, folgen wir selbstverständlich den etablierten Standards, um dir beispielsweise benötigte Zertifikate ausstellen zu können.

Von uns bekommst du passenden kontextbezogenen Designs
für DIGA, ISO27001 und weitere Zertifikate.

Die individuelle Abstimmung des Testablaufs schließt auch einen möglichen Re-Test ein. Durch ihn kannst du sicherstellen, dass ihr alle Findings des ersten Tests erfolgreich bearbeiten habt.

Ganzheitliches Mobile Application Penetration Testing

Bei unseren Penetration Tests nehmen wir grundsätzlich das „große Ganze“ in den Blick.

Das bedeutet im Fall der Mobile Application, dass wir zusätzlich zu technischen Schwachstellen den Aspekt eines physischen Diebstahls einbeziehen:
Wir auditieren das Mobile Device und decken mögliche Angriffsvektoren (außerhalb der App, aber immer mit Bezug auf die App) auf.

Bei der technischen Überprüfung nehmen wir sowohl die statischen als auch die dynamischen Aspekte deiner App in den Blick: Enthält der Source Code beispielsweise versehentlich Credentials? Gibt es Schwachstellen in der Kommunikation zwischen App und API?

Konkret umfasst die technische Ebene unseres Mobile Application Penetration Testing folgende Punkte:

Runtime Injections & Runtime Analysis
Input Validation & Injection Flaws
Local/External Storage Analysis & Permission Flaws
SQLite & Database Analysis
Test der Kryptografischen Funktionen
Authentifizierung und Session Management
Ganzheitliche Betrachtung der API’s

Realistisches Mobile Application Penetration Testing:

Wir nutzen deine App mit Hacker-Blick

Bei all unseren Pentests gehen wir möglichst realistisch vor und orientieren uns am Verhalten böswilliger Hacker. Denn vorrangig geht es uns darum, dein Unternehmen und die Nutzer eurer App vor diesen Hackern erfolgreich zu schützen – nicht um das formale Erfüllen aller Voraussetzungen für ein Zertifikat.

Unser Ansatz ist dabei so einfach wie effektiv: Wir laden deine App auf unsere Geräte, nutzen sie und machen uns auf die Suche nach möglichen Schwachstellen. So ermitteln wir die Angriffswege, die sich Hackern in deinem speziellen Fall anbieten.

Wenn deine Entwickler Credentials im Source Code vergessen
haben, finden wir sie.

Wenn bei der Nutzung deiner App sensible Dateien unverschlüsselt auf dem Mobilgerät gespeichert werden, finden wir sie.

Wenn deine App Berechtigungsdefizite aufweist, finden wir sie.

Wenn deine App unverschlüsselt kommuniziert, finden wir das
heraus.

Wenn deine App unsichere Requests an das API stellt, finden wir sie
und erweitern unseren Angriffsvektor auf diese Endpunkte.

Wir finden die Schwachstellen deiner App – und helfen dir dabei, sie
zu schließen.

Es ist nie zu spät für Mobile Application Penetration Testing

Hast du gerade eine neue App entwickelt und möchtest vor dem Release sicher gehen, dass deine Nutzer und deren Daten bei der
Verwendung sicher sind? Oder bietet dein Unternehmen eine App an, deren Entwicklung bereits länger zurück liegt und bei der du dich fragst,
ob eventuell Sicherheitsrisiken vorliegen?

Ein Mobile Application Penetration Testing ist in jedem Fall der beste Weg,
um dich vor Angriffen über diesen Weg zu schützen!

Wenn du dich ganz oder teilweise in einer unserer typischen Anfragen wiederfindest, kontaktiere uns gerne für ein unverbindliches Kennenlern-Gespräch!

Anfrage 1: Check deiner App vor dem Release

Wir haben eine eigens entwickelte Website für die Kommunikation mit unseren Kunden. Um die Nutzung zu vereinfachen, haben wir eine Android und iOS Applikation entwickelt, die unsere Website in einem Webview anzeigt. Um sicher zu gehen, dass bei der Umsetzung und Implementierung der App keine Fehler passiert sind oder wir etwas bei der Entwicklung im Code vergessen haben, möchte ich die Apps vor dem Release überprüfen lassen.

Anfrage 2: Check einer alten App, deren Entwickler nicht mehr kontaktiert werden können

Unseren Kunden bieten wir mithilfe einer Mobile Applikation die Möglichkeit, sensitive Daten an uns zu übermitteln. Wir bieten jeweils eine Android und iOS Applikation an. Beide Applikationen wurden jedoch von unterschiedlichen Personenkreisen entwickelt. Die Entwicklung der iOS Applikation ist mittlerweile auch schon einige Jahre her und es gibt niemandem mehr im Unternehmen, der an deren Entwicklung beteiligt war. Um sicherzugehen, dass wir unseren Kunden eine sichere Plattform für den Datenaustausch bereitstellen, möchte ich vor allem die Entwicklung der iOS Applikation überprüfen lassen.