Mobile Applikationen bzw. Smartphone-Apps weisen oft eine besonders große Angriffsfläche auf, weil das dazugehörige Backend im Internet erreichbar sein muss. Außerdem werden in besonders sensiblen Bereichen oft noch zusätzlich Sicherheits-Features von Smartphones wie Fingerabdrucksensoren, Gesichtserkennung und die sichere Schlüsselverwaltung verwendet, die durch die hohe Komplexität ein großes Fehlerpotential beherbergen. Möchten Sie ein Gesamtbild der praktischen Angreifbarkeit ihrer App inklusive Backend erhalten, so ist ein Penetrationstest der App ein hervorragendes Mittel.
KundInnen schätzen an uns, dass wir bei unseren Tests nicht nur stumpf Checklisten durchackern und die Ergebnisse automatisierter Werkzeuge direkt weiterreichen, sondern ausreichend Zeit investieren, um das Gesamtsystem, dessen Architektur und die gewünschten Sicherheitseigenschaften zu verstehen. Damit können wir dann zielgerichtet, pragmatisch und technologiespezifisch Empfehlungen aussprechen, die sowohl technische Risiken wie auch die Benutzbarkeit der App berücksichtigen.
Unsere Leistung
Ein Gutteil des Angriffspotentials liegt bei Smartphone-Apps, wie auch bei browserbasierten Anwendungen, im Backend. Ein Penetrationstest des Backends ist bei dieser Leistung inkludiert und entspricht in weiten Teilen einem Penetrationstest einer Applikation. Zusätzlich zu diesen Testschritten werden auch noch die folgenden appseitigen Aspekte einer Prüfung unterzogen:
- Clientseitige Speicherung sensibler Daten
- Integration der Keychain und Schlüsselgenerierung
- Verwendung von Kryptografie
- Verwendung biometrischer Sicherheitsfeatures
- Verschlüsselte Kommunikation mit dem Backend
- Sicherheit in der Verwendung von Plattform-Features
- Schutz gegen Manipulation und Reverse-Engineering
Durch die Kombination beider Aspekte (lokale und serverseitige Tests) wird eine sehr gute Abdeckung erzielt.
Für die Durchführung des Penetrationstests von mobilen Apps werden entweder die App-Dateien (z. B. IPA- oder APK-Datei) direkt oder die Links zum Herunterladen aus den jeweiligen App-Stores zur Verfügung gestellt.
Benefits
- Einem Imageschaden vorbeugen, indem durch das priorisierte Aufzeigen und Beheben der Sicherheitsprobleme die Wahrscheinlichkeit und Erfolgsaussicht eines Angriffes minimiert werden.
- Management-Awareness für Sicherheitsprobleme durch Angriffsdemonstrationen schaffen.
- Erfüllung von Compliance-Anforderungen durch die Durchführung von regelmäßigen Penetrationstests.
