Pentests für Smartphone-Apps

In der heutigen, mobilen Welt spielen Smartphone-Apps eine entscheidende Rolle im täglichen Leben sowie im Geschäftsbetrieb von Unternehmen. Daher ist es von größter Wichtigkeit, dass diese Apps sicher vor unbefugtem Zugriff und Missbrauch sind. Unsere Penetrationstests, kurz Pentests, für mobile Anwendungen auf iOS- und Android-Plattformen sind speziell darauf ausgerichtet, Sicherheitslücken zu identifizieren und zu schließen, um Ihre Daten und die Ihrer Nutzer zu schützen.

Warum sind Pentests für Smartphone-Apps wichtig?

Smartphone-Apps verarbeiten in der Regel sensible Daten mit einem hohen Schutzbedarf. Teilweise werden sogar hochsensible Informationen, wie z. B. Gesundheits- oder Zahlungsinformationen über die Apps verwaltet. Unauthorisierte Zugriffe oder ein Verlust dieser Daten kann daher zu erheblichen Datenschutzverletzungen sowie finanziellen Verlusten führen. Schlimmstenfalls ermöglichen Sicherheitslücken in der App oder dessen Backend-Schnittstelle den Zugriff auf weitere Systeme. Daher ist es essenziell, die Apps sowie die zugrundeliegnde Infrastruktur regelmäßig auf Sicherheitsmängel zu überprüfen und umfassend zu schützen.

Durch die Berücksichtigung der neuesten Sicherheitsrisiken und die gründliche Prüfung aller Aspekte Ihrer App, von der Benutzeroberfläche bis hin zur Serverkommunikation, stellen wir sicher, dass Sie und Ihre Nutzer vertrauensvoll und sicher agieren können. Kontaktieren Sie uns, um mehr darüber zu erfahren, wie wir die Sicherheit Ihrer mobilen Anwendungen gewährleisten können.

So gehen wir bei einem Pentest vor

Unsere Pentests gliedern sich in der Regel in die folgenden fünf Phasen, die wir jedoch auch an Ihren individuellen Bedarf anpassen können. Eine Abschlusspräsentation erstellen wir auf Wunsch gerne für Sie, ebenso nehmen wir optional Nachtests vor. In jedem Fall erhalten Sie einen detaillierten und allgemein verständlichen Bericht mit einer Management-Summary sowie Empfehlungen zur Beseitigung der gefundenen Schwachstellen. 

Eine Eins mit einem Icon für Gespräch (Schritt 1 bei einem Pentest).

Kick-off

Eine Zwei mit einem Icon aus Laptop und Lupe für Analyse (Schritt 2 bei einem Pentest).

Durchführung

Eine Drei mit einem Icon für Liste/Auswertung bzw. Bericht (Schritt 3 bei einem Pentest).

Dokumentation

Eine Vier mit einem Icon für Präsentation (Schritt 4 bei einem Pentest).

Abschluss-
präsentation

Eine Fünf mit einem Icon für Analyse und Auswertung (Schritt 5 bei einem Pentest).

Nachtests

Mehr über die einzelnen Schritte lesen Sie hier. Haben Sie bereits Fragen zum Thema Pentest, die Sie mit uns besprechen möchten? Unser Pentest-Team ist für Sie da, nehmen Sie Kontakt mit uns auf.

Durchführung eines Smartphone-App-Pentests

Unsere Sicherheitsprüfungen umfassen eine detaillierte Analyse der verschiedenen Funktionen der App sowie der unterschiedlichen, bekannten Angriffsvektoren. Wir richten unseren Fokus insbesondere auf die OWASP Mobile Top 10, die derzeit zehn größten Risiken für mobile Anwendungen, und gewährleisten so, dass Ihre App gegen die aktuellsten und relevantesten Bedrohungen geschützt ist. Risiken entstehen bspw. durch unsichere Authentifizierung/Autorisierung, unzureichenden Binärschutz, Fehlkonfigurationen der Sicherheit und unzureichende Kryptographie.

Dabei kommen sowohl automatisierte Scans als auch manuelle Tests zur statischen sowie dynamischen Analyse der Applikation zum Einsatz. Zusätzlich zur Prüfung der App selbst erfolgt weiterhin eine Überprüfung der Webschnittstellen bzw. Backend-APIs analog zu unseren bewährten API-Pentests, um potenzielle Sicherheitslücken in der Kommunikation zwischen der Applikation und ihrem Server zu identifizieren. 

Durch die Berücksichtigung der neuesten Sicherheitsrisiken und die gründliche Prüfung aller Aspekte Ihrer App – von der Benutzeroberfläche bis hin zur Serverkommunikation – stellen wir sicher, dass Sie und Ihre Nutzer vertrauensvoll und sicher agieren können. 

Prüfpunkte

Insgesamt umfassen unsere App-Pentests die folgenden Prüfpunkte:

API/Backend-Server

Überprüfung des zugrundeliegenden Servers im Hinblick auf veraltete Software, bekannte Sicherheitslücken und Konfigurationsfehler

Plattformnutzung

Kontrolle, ob die Anbindung an das entsprechende Betriebssystem sowie die damit verbundenen Sicherheitseinstellungen korrekt implementiert bzw. umgesetzt wurden

Datenspeicherung

Untersuchung des App-Datenspeichers auf unsicher gespeicherte, sensible Informationen und Datenlecks

Kryptographie

Überprüfung im Hinblick auf eine fehlende oder fehlerhafte Anwendung kryptografischer Operationen zum Schutz sensibler Daten

Kommunikation

Überprüfung der Datenübertragung hinsichtlich der Angemessenheit der eingesetzten Verschlüsselungsverfahren und der Gewährleistung der Vertraulichkeit der übermittelten Informationen

Authentifizierung und Autorisierung

Analyse der Art und Qualität der Benutzer-Authentifizierung sowie Kontrolle des Session- bzw. Token-Managements

Zugriffskontrolle

Ausweitung der Zugriffsrechte (vertikal und horizontal) zwischen ggf. unterschiedlichen Benutzern, Gruppen und Rollen gegenüber lokalen Funktionen sowie seitens der API

Datenvalidierung

Überprüfung der Datenvalidierung, insbesondere im Hinblick auf Anfälligkeit für Injections (sowohl gegenüber der API als auch gegenüber lokalen Datenbanken) und Cross-Site-Scripting(XSS)-Angriffe gegen WebViews

App-Schutz

Analyse der getroffenen Maßnahmen zum Schutz der App und deren Quellcode vor bspw. Manipulationen mittels Reverse-Engineering-Methoden

Sensible Informationen

Auswertung von Fehlermeldungen sowie gezielte Suche nach sensiblen Informationen

Anwendungshärtung

Generelle Analyse der Anwendung im Hinblick auf potenzielle Verbesserungspotentiale und Härtungseinstellungen

Jeder App-Pentest wird dabei individuell an das spezifische Einsatzszenario der App angepasst und um erforderliche Analysen ergänzt. Dadurch stellen wir eine gründliche und akkurate Einschätzung der Sicherheitsverhältnisse sicher und gewährleisten auch die Aufdeckung hochkomplexer Schwachstellen.

Ihr Ansprechpartner

Sie möchten einen Pentest für Ihre Webapplikation oder Web-APIs durchführen lassen und suchen einen qualifizierten Dienstleister? Wir stehen Ihnen mit unserer Erfahrung und Fachexpertise zur Verfügung. Kontaktieren Sie uns gerne telefonisch oder per E-Mail – wir freuen uns auf Ihre Anfrage!

Michael Cyl

Michael Cyl, M.Sc.

Leiter Informationssicherheit | Penetrationstests

E-Mail: mcyl@re-move-this.datenschutz-nord.de

Telefon: +49 421 69 66 32-319

Unsere Qualifikation als Pentester:

  • Vorgehen nach anerkannten Standards (BSI IS-Pentest, BSI IS-Webcheck, OWASP uvm.)
  • Qualifizierte Penetrationstester mit langjähriger Erfahrung
  • Individualisierung aller Tests anhand der entsprechenden Prüfsituation
  • Umfassende Projekterfahrung im Smart Meter Gateway-Bereich nach BSI TR-03109-1
  • Unkomplizierte Prozesse und Transparenz zu jeder Zeit
  • Fokus auf Verbesserung der IT-Sicherheit des Auftraggebers

Des Weiteren sind wir ausgezeichnet als

  • Offensive Security Certified Professional (OSCP)
  • Certified Ethical Hacker (CEH)
  • Offensive Security Wireless Professional (OSWP)

FAQ zum Thema Pentest

Auch interessant:

Kennen Sie schon unseren Blog?

Mit unserem Blog „datenschutz notizen“ informieren wir Kunden und Interessierte über aktuelle Themen in den Bereichen Datenschutz, Informationssicherheit und Compliance. Hier finden Sie unsere neuesten Beiträge über Informationssicherheit, Cybersicherheit und Pentests: