Was ist das?

Der Mobile App-Pentest ist ein Verfahren zur Bewertung der Sicherheit von mobilen Applikationen. Digitale Geschäftsmodelle, die Verarbeitung sensibler Informationen und eine sichere Abwicklung der Interoperabilität zwischen verschiedenen APIs und anderweitiger mobilen Apps machen einen Pentest unverzichtbar. Unsere Mobile-App-Pentester haben einen Hintergrund im Bereich Infrastruktur- und Web-Pentest: eine Qualität, die für das Testen mobiler Apps notwendig ist, denn fast jede App kommuniziert mit einem Backend-System. Diese Expertise ist essenziell, da wir somit das gesamte Spektrum von nativen Apps, hybriden Apps, Web Apps und progressiven Webanwendungen überprüfen können.

Um Informationssicherheit bereits in der Softwareentwicklung – insbesondere bei der Entwicklung von Apps für Mobile Devices (Android und iOS) zu berücksichtigen, sollten regelmäßige Pentests Bestandteil eines Entwicklungsprozesses sein.

Wir prüfen dabei die grundsätzliche Art des Umgangs mit Daten in der App (Speicherung, Authentisierung der Benutzer), die möglichen Schwachstellen bei der regulären Nutzung der App (Logik in der Anwendung, Rechteeinschränkung) und das Zusammenspiel mit den Systemen im Hintergrund (Backend APIs und Datenbanken).

Unsere Penetrationstests für mobile Anwendungen basieren auf OWASP Mobile Top 10.

Der Penetrationtest erfolgt anhand der Testmodule nach BSI Richtlinie und OWASP für Webportale. Je nach Auftrag kann sich die Analyse anhand der Module nach OSSTMM, NIST, PCIDSS, PTES oder CIS orientieren.

Unsere Vorgehensweise

  • Informationsgewinnung
  • Einsatz automatisierter und manueller Sicherheitsüberprüfungen
    • Architektur: Funktionsumfang und Sicherheitsfunktionen müssen in den Prozessen, Anmeldungen, Schnittstellen und API-Endpunkten klar definiert und bekannt sein.
    • Datenhaltung und Datenschutz: Der Schutz sensibler Daten wie Anmeldedaten und private Informationen ist der Schwerpunkt. Des Weiteren muss es Absicherungen zu Datenlecks im Bereich Cloud-Datenspeicherung oder Backups geben.
    • Kryptographie: Überprüfung der Vorgaben zur Kryptographie
    • Netzwerkkommunikation: Vertraulichkeit und Integrität übertragender Daten zwischen App und Server müssen gewährleistet werden.
    • Plattform-Interaktion: Sicherstellung, dass von der App genutzte Plattform-Komponenten sicher sind
    • Code-Qualität: Überprüfung auf Basis-Security Praktiken
    • Manipulationssicherheit: Überprüfung von Defense-in-Depth-Maßnahmen
  • Dokumentation und Erstellung von Empfehlungen zur Sicherheitssteigerung sowie Präsentation der Ergebnisse
  • Auswahl Testmodule
    • Das Testen von mobilen Apps verläuft nach der Kategorisierung von dem MASVS (Mobile Application Security Verification Standard) oder dem OWASP Mobile Security Testing Guide. Unsere Prozesse sind an den Praxis-Leitfaden für Pentests des Bundesamts für Informationssicherheit (BSI) und an die EU-DSGVO angepasst.