Anwendungen
Mobile Applikationen
Apps sind aus dem Alltag kaum wegzudenken. Doch wie steht es um die Sicherheit? Werden Daten sicher gespeichert und verarbeitet? Finden Sie es heraus.
Prüfumfang des Pentests
Bei diesem Penetrationstest untersuchen unsere Ethical Hacker Ihre mobile Applikation auf Sicherheitsschwachstellen und Konfigurationsfehler.
Der Test findet typischerweise von Remote aus statt.
Beispielhafte Prüfobjekte:
iOS
Wir testen Ihre iOS Applikation nativ auf unseren Testgeräten. Hierzu nutzen wir einen "Jailbreak", um mit Vollzugriff im Datei- und Betriebssystem das Verhalten Ihrer App zu analysieren.
Android
Wir testen Ihre Android Applikation nativ auf unseren Testgeräten. Diese werden gerooted, um mit vollem Systemzugriff das Verhalten Ihrer App zu analysieren.
76%
76% aller mobilen Applikationen speichern ihre Daten nicht ausreichend gesichert. ¹
Oft besteht das Risiko nicht aus einer einzelnen Schwachstelle, sondern mehreren kleinen Mängeln, die kombiniert kritische Angriffe ermöglichen. ¹
89%
89% der Angriffe benötigen keinen physischen Zugriff auf das Mobilgerät und können z.B. durch Malware ausgenutzt werden. ¹
Penetrationstest von mobilen Applikationen
Unser Vorgehen
Im Rahmen des hier vorgestellten Sicherheitstests führen wir einen Test Ihrer mobilen Anwendungen (iOS / Android), der Backend-Anwendungsumgebung sowie der Kommunikation zwischen dem Gerät und der Backend-Anwendungsumgebung durch.
Im ersten Teil unserer Tests ermitteln wir gängige Anwendungsschwachstellen in den mobilen Applikationen. Hierbei handelt es sich bspw. um eine unsichere Datenspeicherung, eine unsichere Authentifizierung oder Schwächen im verwendeten Kommunikationskanal.
Im zweiten Schritt untersuchen wir Ihre mobile Applikation aus der Sicht von regulären Anwendungsbenutzern mit gültigen Testkonten. In diesem Zusammenhang identifizieren wir Schwachstellen in der Anwendungslogik sowie horizontale und vertikale Rechteausweitungen.
Abschließend analysieren wir die Backend-Dienste Ihrer mobilen Anwendung. In diesem Abschnitt suchen wir gezielt nach Sicherheitslücken in den Bereichen wie Authentifizierung, Eingabevalidierung, Autorisierung und Session-Management sowie Kryptographie und Nachrichtenintegrität.
Zusammengefasst werden alle Tests, welche im OWASP Mobile Testing Guide beschrieben sind, durchgeführt.
Der Fokus dieses Tests liegt auf der Identifikation von Schwachstellen, welche in den OWASP Mobile Top 10 aufgeführt werden. Durch unsere Testergebnisse erhalten Sie einen Einblick in die Sicherheitslage Ihrer mobilen Anwendung(en). Mit den dokumentierten Ergebnissen helfen wir Ihnen, Ihre Widerstandsfähigkeit gegen Angriffe zu verbessern oder bereits implementierte Sicherheitslösungen auf ihre Effektivität zu verifizieren.
Testarten
Black-Box
Test als externer Angreifer ohne Zusatzinformationen
Grey-Box
Test mit validen Zugangsdaten
White-Box
Test mit Zugangsdaten und Einsicht in den Quellcode
Standards und Qualifikationen
Wir berücksichtigen bei unseren Pentests alle internationalen und anerkannten Standards.
Unsere Penetrationstester sind hochqualifiziert und besitzen eine Vielzahl anerkannter Hacking-Zertifikate.
