Sie befinden sich hier:
  1. Start
  2. Cyber Security
  3. Leistungen
  4. Penetration Tests
  5. Mobile Anwendungen

Mobile Anwendungen

Analyse von mobilen Anwendungen
(Android- und iOS-Apps)

Die Analyse von mobilen Anwendungen umfasst die Untersuchung von Android- oder iOS-Apps auf Schwachstellen, welche die klassischen Schutzziele der IT-Sicherheit (Vertraulichkeit, Integrität, Verfügbarkeit) gefährden.

Die Untersuchung umfasst sowohl die Client-Anwendung (Android- und iOS-App) als auch die server-seitigen Anwendungsteile, wie bspw. die Web-API. Zusätzlich findet eine statische Analyse der Binärdatei- oder auf Quelltext-Ebene statt, sowie eine dynamische Analyse zur Laufzeit der Anwendung in einer Test- oder Produktiv-Umgebung.

Bei der Durchführung von Penetrationstest von mobilen Anwendungen orientieren wir uns an anerkannten IT-Sicherheitsstandards wie des OWASP Mobile Application Security Testing Guide (MASTG) und OWASP Mobile Application Security Verification Standard (MASVS).

Warum eine Analyse der mobilen Anwendungen?

Durch die Analyse von mobilen Anwendungen können Schwachstellen innerhalb eines Anwendungssystems identifiziert werden, um vorhandene Sicherheitsrisiken für eine Anwendung und den von ihr verarbeiteten Daten zu bestimmen. Durch gezielte Maßnahmenempfehlungen zur Behebung von identifizierten Schwachstellen kann die Softwarequalität im Bereich IT-Sicherheit (Security) erhöht und ein ausreichender Schutz vor Angreifern gewährleistet werden.

Im Allgemeinen können durch Sicherheitstests die folgenden Schutzziele nach BSI überprüft werden [1]:
Vertraulichkeit
"Vertraulichkeit ist der Schutz vor unbefugter Preisgabe von Informationen. Vertrauliche Daten und Informationen dürfen ausschließlich Befugten in der zulässigen Weise zugänglich sein."
Integrität
"Integrität bezeichnet die Sicherstellung der Korrektheit (Unversehrtheit) von Daten und der korrekten Funktionsweise von Systemen."
Verfügbarkeit
Die Verfügbarkeit von Dienstleistungen, Funktionen eines IT-Systems, IT-Anwendungen oder IT-Netzen oder auch von Informationen ist vorhanden, wenn diese von den Anwendern stets wie vorgesehen genutzt werden können.

Ziel

Das Ziel der Untersuchung einer mobilen Anwendung ist …
die Identifikation von vorhandenen Schwachstellen
und Fehlkonfigurationen in der App oder dessen Backend-Systemen
die Empfehlung entsprechender Maßnahmen
zur Behebung, um die Softwarequalität im Bereich IT-Sicherheit zu erhöhen
eine Bestimmung des Sicherheitsniveaus
auf Anwendungsebene zum Zeitpunkt der Testdurchführung auf Basis der Testergebnisse.

Neben dem Testumfang werden in Absprache mit dem Auftraggeber die konkreten Testziele sowie deren Priorisierung individuell im Vorfeld ermittelt und die Untersuchung entsprechend angepasst.

Allgemeine Testmethodik

Die Testschwerpunkte der client- sowie serverseitigen Bestandteile von mobilen Anwendungen basieren auf dem Vorgehen des OWASP Mobile Application Security Testing Guides (MASTG) [2] und OWASP Mobile Application Security Verification Standard (MASVS) [3].

Die Prüftiefe ist generell abhängig von der zur Verfügung stehenden Testzeit und wird mit dem Auftraggeber im Beratungsgesrpäch abgestimmt. Diese sollte an den Schutzbedarf der Anwendung angepasst werden. In diesem Sinne werden Testpunkte in folgende Level unterteilt:
L1: Standard-Sicherheit
L2: Sicherheit in der Tiefe (defense-in-depth)
R: Wiederstandsfähigkeit gegen Reverse-Engineering und Manipulationsversuche

Nächste Schritte

Weitere Analysen
Ausweitung der bisherigen Aktivitäten
auf weitere Anwendungen oder Anwendungsteile
Eine wiederholte Analyse
kann nach Behebung der identifizierten Schwachstellen deren Wirksamkeit überprüfen.
Sich weiterentwickelnde Anwendungen
können regelmäßig auf vorhandene Schwachstellen untersucht werden. Die Analyse kann hierbei das gesamte Softwaresystem oder ausschließlich neu hinzugefügte Funktionalitäten umfassen.

Sicherheitsberatung

Auf Basis gewonnener Erkenntnisse und identifizierter Schwachstellen können allgemeine oder anwendungsspezifische Themen im Bereich IT-Sicherheit, Best-Practices oder Know-How zur Sensibilisierung oder für Lösungsansätze vermittelt werden.

Entwicklerschulung

Sind verschiedene Angriffsszenarien oder Maßnahmempfehlungen aus Entwicklersicht unbekannt, so kann durch gezielte Schulungsinhalte ein grundlegendes Wissen für eine sichere Programmierung von Anwendungen vermittelt werden.

Quellen

[1] Bundesamt für Sicherheit in der Informationstechnik, IT-Grundschutz-Kompendium (Edition 2022)

[2] The OWASP® Foundation, MASTG

[3] The OWASP® Foundation, MASVS