Mobile App Entwicklung

Mobile App Pentesting

Mobile App Penetration Testing

Auch Geschäftsvorgänge spielen sich immer mehr auf mobilen Endgeräten ab. Spezielle Apps für Smartphones oder Tablets dienen beispielsweise der Kommunikation und enthalten Kundendaten. Erlangt ein Hacker hier Zugriff, ist der daraus entstehende Schaden groß. Eventuell gehen wichtige Dateien verloren oder die Kundendaten gelangen ins Internet. Ein erfolgreicher Angriff mündet unter Umständen nicht nur in einem Imageverlust, sondern birgt auch unmittelbare finanzielle Nachteile. Darüber hinaus riskiert ein Unternehmen mit mangelnder IT-Sicherheit eine Strafe aufgrund der DSGVO.

Um diesem Szenario entgegenzuwirken, gibt es das Penetration-Testing, auch Pentest genannt. Hiermit simulieren wir Angriffe auf Ihre Apps, um Sicherheitslücken ausfindig zu machen.

Bei einem Pentest untersuchen wir zahlreiche Bereiche von Apps. Hierzu gehören das Frontend, das Backend, sowie Datenbanken und mögliche Schnittstellen der App. Die Analyse der App kann mit und auch ohne dem Quelltext / Spezifikation der App erfolgen. Die App wird einer manuellen und auch einer automatisierten Analyse unterzogen. Mithilfe dieser Kombination sind wir in der Lage, eine Vielzahl allgemeiner und spezieller Schwachstellen in der App zu identifizieren. So ist es möglich, gezielte Schutzmaßnahmen durchzuführen.
 

Mobile App Entwicklung

App Pentesting

App Pentesting


Zu Beginn des Pentests versuchen wir, die Funktionsweise der Anwendung zu verstehen. Hierzu sammeln wir verschiedene Informationen. Anschließend ermitteln wir potenzielle Angriffsvektoren. Mit gezielten Angriffen testen wir aus, ob es möglich ist, diese auszunutzen, um Zugriff zu erhalten. Bei unserem Vorgehen orientieren wir uns am sogenannten OWASP-Mobile-Security-Testing-Guide. Wir beschränken uns dabei nicht nur auf die App selbst, sondern überprüfen ebenfalls das dazugehörige Backend. Egal ob native, hybride Apps oder PWAs – wir sind in der Lage, verschiedenste Apps einem Pentest zu unterziehen.

Folgende Aspekte werden bei einem App-Pentest untersucht:

  • Architektur, Design und Bedrohungsanalysen
  • Anforderungen an Datenspeicherung und Datenschutz
  • Anforderungen an Kryptographie
  • Anforderungen an Authentifizierung und Session Management
  • Anforderungen an Netzwerkkommunikation
  • Anforderungen zur Plattform-Interaktion
  • Anforderungen zu Code Qualität und Build-Einstellungen
  • Anforderungen an Manipulationssicherheit/Resilienz

Vorgehen

Vorgehen

Diese Schritte durchlaufen wir, während wir Ihre App auf Herz und Nieren testen.
  • 01

    Kennenlernen
    Kennenlernen

    Gemeinsam gehen wir die Anforderungen und die Ziele des Projekts durch und legen fest, welche Systeme wie überprüft werden sollen.

  • 02

    Information Gathering
    Reconnaissance

    Unsere Experten sammeln passiv Informationen über die Mobile Applikationen und Schnittstellen. Diese Informationen werden in der nächsten Phase verwendet, um Angriffe durchzuführen. Durch Interaktion mit dem System werden weitere Informationen gesammelt und mögliche Einstiegspunkte in die Systeme festzulegen.

  • 03

    Exploitation
    Exploitation

    In dieser Phase werden die bisherige Ergebnisse verwendet und die Anwendungen gezielt angegriffen, um Zugang zu den Systemen zu verschaffen. Das Ziel ist die Schwachstellen in den Anwendungen zu identifizieren, kombinieren und zu bewerten. In die Schritt werden die Analysen manuell durchgeführt, um auch Schwachstellen zu finden, die tiefes IT-Security Wissen benötigen.

  • 04

    Dokumentation
    Dokumentation

    Parallel zum Penetrationtest werden die Ergebnisse protokolliert und aufbereitet. Die Dokumentation umfasst die Management Summary, eine Tabellarische Auflistung der Schwachstellen und deren Bewertung sowie Handlungsempfehlungen

  • 05

    Präsentation
    Präsentation

    Die Ergebnisse des Penetrationstest werden präsentiert und auf Ihre Fragen werden eingegangen. Wir Fragen stehen wir Ihnen weiterhin zur Verfügung und helfen Ihnen bei Bedarf die Lücken zu beseitigen.

  • 06

    Retest
    Retest

    Nach dem Pentest und die Behebung der Fehler, kann eine Nachprüfung stattfinden. Wir überprüfen, ob die Schwachwachstellen weiterhin existieren oder korrekt behoben wurden.

Fragen?

Wir freuen uns darauf, von Ihnen zu hören

Sie planen ein IT-Projekt und sind auf der Suche nach einem kompetenten Team?
Wir sind für Sie da und freuen uns von Ihnen zu hören.

Zertifizierung

Offensive Security Certified Professional - OSCP
Offensive Security Web Expert - OSWE
iso27001