Pentests für Smartphone-Apps
In der heutigen, mobilen Welt spielen Smartphone-Apps eine entscheidende Rolle im täglichen Leben sowie im Geschäftsbetrieb von Unternehmen. Daher ist es von größter Wichtigkeit, dass diese Apps sicher vor unbefugtem Zugriff und Missbrauch sind. Unsere Penetrationstests, kurz Pentests, für mobile Anwendungen auf iOS- und Android-Plattformen sind speziell darauf ausgerichtet, Sicherheitslücken zu identifizieren und zu schließen, um Ihre Daten und die Ihrer Nutzer zu schützen.
Warum sind Pentests für Smartphone-Apps wichtig?
Smartphone-Apps verarbeiten in der Regel sensible Daten mit einem hohen Schutzbedarf. Teilweise werden sogar hochsensible Informationen, wie z. B. Gesundheits- oder Zahlungsinformationen über die Apps verwaltet. Unauthorisierte Zugriffe oder ein Verlust dieser Daten kann daher zu erheblichen Datenschutzverletzungen sowie finanziellen Verlusten führen. Schlimmstenfalls ermöglichen Sicherheitslücken in der App oder dessen Backend-Schnittstelle den Zugriff auf weitere Systeme. Daher ist es essenziell, die Apps sowie die zugrundeliegnde Infrastruktur regelmäßig auf Sicherheitsmängel zu überprüfen und umfassend zu schützen.
Durch die Berücksichtigung der neuesten Sicherheitsrisiken und die gründliche Prüfung aller Aspekte Ihrer App, von der Benutzeroberfläche bis hin zur Serverkommunikation, stellen wir sicher, dass Sie und Ihre Nutzer vertrauensvoll und sicher agieren können. Kontaktieren Sie uns, um mehr darüber zu erfahren, wie wir die Sicherheit Ihrer mobilen Anwendungen gewährleisten können.
So gehen wir bei einem Pentest vor
Unsere Pentests gliedern sich in der Regel in die folgenden fünf Phasen, die wir jedoch auch an Ihren individuellen Bedarf anpassen können. Eine Abschlusspräsentation erstellen wir auf Wunsch gerne für Sie, ebenso nehmen wir optional Nachtests vor. In jedem Fall erhalten Sie einen detaillierten und allgemein verständlichen Bericht mit einer Management-Summary sowie Empfehlungen zur Beseitigung der gefundenen Schwachstellen.
Kick-off
Durchführung
Dokumentation
Abschluss-
präsentation
Nachtests
Mehr über die einzelnen Schritte lesen Sie hier. Haben Sie bereits Fragen zum Thema Pentest, die Sie mit uns besprechen möchten? Unser Pentest-Team ist für Sie da, nehmen Sie Kontakt mit uns auf.
Durchführung eines Smartphone-App-Pentests
Unsere Sicherheitsprüfungen umfassen eine detaillierte Analyse der verschiedenen Funktionen der App sowie der unterschiedlichen, bekannten Angriffsvektoren. Wir richten unseren Fokus insbesondere auf die OWASP Mobile Top 10, die derzeit zehn größten Risiken für mobile Anwendungen, und gewährleisten so, dass Ihre App gegen die aktuellsten und relevantesten Bedrohungen geschützt ist. Risiken entstehen bspw. durch unsichere Authentifizierung/Autorisierung, unzureichenden Binärschutz, Fehlkonfigurationen der Sicherheit und unzureichende Kryptographie.
Dabei kommen sowohl automatisierte Scans als auch manuelle Tests zur statischen sowie dynamischen Analyse der Applikation zum Einsatz. Zusätzlich zur Prüfung der App selbst erfolgt weiterhin eine Überprüfung der Webschnittstellen bzw. Backend-APIs analog zu unseren bewährten API-Pentests, um potenzielle Sicherheitslücken in der Kommunikation zwischen der Applikation und ihrem Server zu identifizieren.
Durch die Berücksichtigung der neuesten Sicherheitsrisiken und die gründliche Prüfung aller Aspekte Ihrer App – von der Benutzeroberfläche bis hin zur Serverkommunikation – stellen wir sicher, dass Sie und Ihre Nutzer vertrauensvoll und sicher agieren können.
Prüfpunkte
Insgesamt umfassen unsere App-Pentests die folgenden Prüfpunkte:
API/Backend-Server
Überprüfung des zugrundeliegenden Servers im Hinblick auf veraltete Software, bekannte Sicherheitslücken und Konfigurationsfehler
Plattformnutzung
Kontrolle, ob die Anbindung an das entsprechende Betriebssystem sowie die damit verbundenen Sicherheitseinstellungen korrekt implementiert bzw. umgesetzt wurden
Datenspeicherung
Untersuchung des App-Datenspeichers auf unsicher gespeicherte, sensible Informationen und Datenlecks
Kryptographie
Überprüfung im Hinblick auf eine fehlende oder fehlerhafte Anwendung kryptografischer Operationen zum Schutz sensibler Daten
Kommunikation
Überprüfung der Datenübertragung hinsichtlich der Angemessenheit der eingesetzten Verschlüsselungsverfahren und der Gewährleistung der Vertraulichkeit der übermittelten Informationen
Authentifizierung und Autorisierung
Analyse der Art und Qualität der Benutzer-Authentifizierung sowie Kontrolle des Session- bzw. Token-Managements
Zugriffskontrolle
Ausweitung der Zugriffsrechte (vertikal und horizontal) zwischen ggf. unterschiedlichen Benutzern, Gruppen und Rollen gegenüber lokalen Funktionen sowie seitens der API
Datenvalidierung
Überprüfung der Datenvalidierung, insbesondere im Hinblick auf Anfälligkeit für Injections (sowohl gegenüber der API als auch gegenüber lokalen Datenbanken) und Cross-Site-Scripting(XSS)-Angriffe gegen WebViews
App-Schutz
Analyse der getroffenen Maßnahmen zum Schutz der App und deren Quellcode vor bspw. Manipulationen mittels Reverse-Engineering-Methoden
Sensible Informationen
Auswertung von Fehlermeldungen sowie gezielte Suche nach sensiblen Informationen
Anwendungshärtung
Generelle Analyse der Anwendung im Hinblick auf potenzielle Verbesserungspotentiale und Härtungseinstellungen
Jeder App-Pentest wird dabei individuell an das spezifische Einsatzszenario der App angepasst und um erforderliche Analysen ergänzt. Dadurch stellen wir eine gründliche und akkurate Einschätzung der Sicherheitsverhältnisse sicher und gewährleisten auch die Aufdeckung hochkomplexer Schwachstellen.
Ihr Ansprechpartner
Sie möchten einen Pentest für Ihre Webapplikation oder Web-APIs durchführen lassen und suchen einen qualifizierten Dienstleister? Wir stehen Ihnen mit unserer Erfahrung und Fachexpertise zur Verfügung. Kontaktieren Sie uns gerne telefonisch oder per E-Mail – wir freuen uns auf Ihre Anfrage!
Michael Cyl, M.Sc.
Leiter Informationssicherheit | Penetrationstests
E-Mail: mcyl@re-move-this.datenschutz-nord.de
Telefon: +49 421 69 66 32-319
Unsere Qualifikation als Pentester:
- Vorgehen nach anerkannten Standards (BSI IS-Pentest, BSI IS-Webcheck, OWASP uvm.)
- Qualifizierte Penetrationstester mit langjähriger Erfahrung
- Individualisierung aller Tests anhand der entsprechenden Prüfsituation
- Umfassende Projekterfahrung im Smart Meter Gateway-Bereich nach BSI TR-03109-1
- Unkomplizierte Prozesse und Transparenz zu jeder Zeit
- Fokus auf Verbesserung der IT-Sicherheit des Auftraggebers
Des Weiteren sind wir ausgezeichnet als
- Offensive Security Certified Professional (OSCP)
- Certified Ethical Hacker (CEH)
- Offensive Security Wireless Professional (OSWP)
FAQ zum Thema Pentest
Auch interessant:
Kennen Sie schon unseren Blog?
Mit unserem Blog „datenschutz notizen“ informieren wir Kunden und Interessierte über aktuelle Themen in den Bereichen Datenschutz, Informationssicherheit und Compliance. Hier finden Sie unsere neuesten Beiträge über Informationssicherheit, Cybersicherheit und Pentests: