Mobile App-Pentest
Der Mobile App-Pentest ist ein Verfahren zur Bewertung der Sicherheit von mobilen Applikationen. Digitale Geschäftsmodelle, die Verarbeitung sensibler Informationen und eine sichere Abwicklung der Interoperabilität zwischen verschiedenen APIs und anderweitiger mobilen Apps machen einen Pentest unverzichtbar. Unsere Mobile-App-Pentester haben einen Hintergrund im Bereich Infrastruktur- und Web-Pentest: eine Qualität, die für das Testen mobiler Apps notwendig ist, denn fast jede App kommuniziert mit einem Backend-System. Diese Expertise ist essenziell, da wir somit das gesamte Spektrum von nativen Apps, hybriden Apps, Web Apps und progressiven Webanwendungen überprüfen können.
Um Informationssicherheit bereits in der Softwareentwicklung – insbesondere bei der Entwicklung von Apps für Mobile Devices (Android und iOS) zu berücksichtigen, sollten regelmäßige Pentests Bestandteil eines Entwicklungsprozesses sein.
Vorgehensweise
So gehen wir vor
Wir prüfen die grundsätzliche Art des Umgangs mit Daten in der App (Speicherung, Authentisierung der Benutzer), die möglichen Schwachstellen bei der regulären Nutzung der App (Logik in der Anwendung, Rechteeinschränkung) und das Zusammenspiel mit den Systemen im Hintergrund (Backend APIs und Datenbanken). Unsere Penetrationstests für mobile Anwendungen basieren auf OWASP Mobile Top 10. Der Penetrationtest erfolgt anhand der Testmodule nach BSI Richtlinie und OWASP für Webportale. Je nach Auftrag kann sich die Analyse anhand der Module nach OSSTMM, NIST, PCIDSS, PTES oder CIS orientieren. Das Testen von mobilen Apps verläuft nach der Kategorisierung von dem MASVS (Mobile Application Security Verification Standard) oder dem OWASP Mobile Security Testing Guide. Unsere Prozesse sind an den Praxis-Leitfaden für Pentests des Bundesamts für Informationssicherheit (BSI) und an die EU-DSGVO angepasst.
00I
Informationsgewinn durch den Einsatz manueller und automatisierter Vulnerability- und Portscannern.
002
Einsatz automatisierter und manueller Sicherheitsüberprüfungen
003
Dokumentation und Erstellung von Empfehlungen zur Sicherheitssteigerung sowie Präsentation der Ergebnisse
004
Auswahl Testmodule
Unsere Lösung
Automatisierte und manuelle Sicherheitsüberprüfungen
Durch den simulierten Hackerangriff unseres Red Teams können wir 99 Prozent aller offenen Schwachstellen bei Ihren Web- und IT-Anwendungen sowie in Ihren Unternehmensprozessen ausfindig machen und gleichzeitig Ihre MitarbeiterInnen für die Sicherheit im Umgang mit sensiblen Daten sensibilisieren. In Verbindung mit einer umfassenden Beratung unsererseits wird Ihr Unternehmen rundum vor Angriffen geschützt.
Architektur
Funktionsumfang und Sicherheitsfunktionen müssen in den Prozessen, Anmeldungen, Schnittstellen und API-Endpunkten klar definiert und bekannt sein.
Datenhaltung und Datenschutz
Der Schutz sensibler Daten wie Anmeldedaten und private Informationen ist der Schwerpunkt. Des Weiteren muss es Absicherungen zu Datenlecks im Bereich Cloud-Datenspeicherung oder Backups geben.
Netzwerkkommunikation
Vertraulichkeit und Integrität übertragender Daten zwischen App und Server müssen gewährleistet werden.
Kryptographie
Überprüfung der Vorgaben zur Kryptographie
Plattform-Interaktion
Sicherstellung, dass von der App genutzte Plattform-Komponenten sicher sind
Code-Qualität
Überprüfung auf Basis-Security Praktiken
Manipulationssicherheit
Überprüfung von Defense-in-Depth-Maßnahmen