IT-Security - Schützen Sie Ihre digitalen Assets!

iOS- & Android App Penetration Testing

Wir bieten von unseren ISO 27001 & IEC 62443 zertifizierten Beratern und Lead Auditoren sowie OSCP und OSWE zertifizierten Pentestern durchgeführte Penetrationstests (offensive Security) von iOS- und Android-Apps gemäß dem OWASP Mobile Security Testing Guide (MSTG) an. Bei der Prüfung der Apps verwenden wir sowohl statische als auch dynamische Testmethoden.

Im Rahmen der statischen Analyse überprüfen wir die App-Binaries und führen ein Reverse Engineering der Anwendungen durch, um Konfigurationsdateien und Source Code auf Schwachstellen zu überprüfen. Ein besonderes Augenmerk liegt dabei auf Zero-Day-Schwachstellen, also Schwachstellen für die noch kein Patch oder Abhilfemaßnahmen verfügbar sind. Diese können eine Bedrohung darstellen.

Bei der dynamischen Analysen setzen wir sowohl Geräte in der Standardkonfiguration als auch Geräte mit Root beziehungsweise Jailbreak ein, um Apps während der Laufzeit zu untersuchen. Hier kommen Netztraffic-Analysen zum Einsatz, Analysen der Laufzeitumgebung sowie Manipulation der App-Packages mit Hilfe von Pentesting Frameworks und Toolsets auf den Testgeräten.

Statische und dynamische Analysen (iOS & Android)

Die Überprüfung der clientseitigen Applikationsfunktionalitäten wird im Rahmen einer dynamischen als auch einer statischen Analyse und ohne Insider-Kenntnisse (Blackbox-Test) durchgeführt. Die iOS- und die Android App wird extrahiert und im Rahmen der statischen Tests ein Reverse Engineering durchgeführt. Bei den dynamischen Tests wird mittels „Hooking” in die Prozesse eingegriffen und Manipulationen der System-Calls durchgeführt, um weitere Schwachstellen aufzudecken. Je nach Effektivität der Obfuscation (Verschleierung des Quellcodes), können weitere tieferer Analysen durchgeführt werden.

Die Tests sind angelehnt an Best Practices wie „OWASP Mobile Security Testing Guide” und enthalten unter anderem die folgenden Testaspekte:

• Anti Reverse Engineering
• Laufzeit-Sicherheit (Hooking, Anti-Debugging, Tampering-Detection)
• Binary-Analyse (Binary-Protections, Verschlüsselung, Dekompilieren)
• Authentisierung & Autorisierung
• Session-Management
• Key- & Password-Management
• Sichere Verwendung von Web-Content
• Funktion und Applikationslogik (Client- und Serverseitig)
• Speicherung und Übertragung sensibler Daten (Verschlüsselung)
• Clientseitige Injection-Angriffe
• Web-Schwachstellen (z.B. SQL-Injection, Information Disclosure)
• Mandanten-Trennung
• Caching
• Eingabevalidierung
• Fehlerbehandlung

OWASP Mobile Application Security Verification Standard

Der OWASP MASVS (Mobile Application Security Verfication Standard) bzw. OWASP MSTG (Mobile Security Testing Guide) ist ein internationaler Standard und gibt Security Best Practices und Härtungsmaßnahmen sowohl für eine iOS- und Android-App als auch für die Backend-API vor. Dieser enthält Level 1 Security Controls für Basisanforderung und Level 2 Security Controls für Applikationen mit erhöhtem Schutzbedarf. Wir empfehlen grundsätzlich das Security Assessment für Level 1 und Level 2 durchzuführen und eine etwaige Umsetzung der fehlenden Level 2 Security Controls gemäß des Risikos jeweils separat abzuwägen. Im Rahmen eines Penetrationstests prüfen wir Ihre Apps auf Compliance mit insgesamt 156 Security Controls aus dem MASVS.