Mobile-Penetrationstest

Lassen Sie die Sicherheit Ihrer Mobile-Anwendung von unseren Experten ├╝berpr├╝fen.

Was ist ein Mobile-Pentest?

Smartphones sind aus dem allt├Ąglichen Leben nicht mehr wegzudenken. Doch durch die starke allt├Ągliche Nutzung und die damit verbundenen pers├Ânlichen Daten gewinnt das Thema Sicherheit dieser Anwendungen ebenfalls an Bedeutung. Um das Vertrauen in mobile Anwendungen zu erhalten und die Daten der Nutzer zu sch├╝tzen, sollten Schw├Ąchen m├Âglichst fr├╝h erkannt werden.

Bei einem Mobile-Pentest werden Angriffe auf eine mobile Anwendung (App) simuliert. Dabei untersuchen Sicherheitsexperten (Ethical Hacker) die Anwendung mit ihrer Expertise auf potenzielle Sicherheitsl├╝cken und Schwachstellen. Ein Mobile-Penetrationstest ├Ąhnelt einem traditionellen Penetrationstest, er konzentriert sich jedoch auf die spezifischen Schwachstellen mobiler Umgebungen.

Insgesamt werden unterschiedliche Angriffsvektoren von den Experten untersucht. Darunter fallen unter anderem die ├ťberpr├╝fung auf Anf├Ąlligkeit f├╝r Datendiebstahl, Pr├╝fungen von APIs, Untersuchung von klassischen Sicherheitsl├╝cken in der Client-Anwendung oder auch die Feststellung von Schw├Ąchen im Berechtigungsmanagement.

Pr├╝fen Sie Ihre mobilen Anwendungen durch einen Mobile-Pentest und identifizieren sie bestehende Sicherheitsm├Ąngel und beseitigen sie diese, bevor sie von Angreifern ausgenutzt werden k├Ânnen.

  • Kommen Sie Angreifern zuvor
  • Verhindern Sie eine Manipulation oder den Diebstahl sensibler Daten
  • Erkennen Sie Sicherheitsl├╝cken fr├╝hzeitig
  • Erh├Âhen Sie das Vertrauen in Ihre Anwendung
  • Minimieren Sie Angriffsrisiken wirksam
  • Vermeiden Sie Reputationsverlust durch kritische Schwachstellen
<activity android:name=".WebviewActivity">
    <intent-filter>
        <action android:name="android.intent.action.VIEW" />
        <category android:name="android.intent.category.DEFAULT" />
        <category android:name="android.intent.category.BROWSABLE" />
        <data
            android:scheme="shop"
            android:host="example"
            android:pathPrefix="/"
        />
    </intent-filter>
</activity>
Codebeispiel 1 Beispiel einer Android-Anwendung mit ├Âffentlichem URL-Schema. ├ľffentlich erreichbare Schnittstellen bieten h├Ąufig eine Angriffsfl├Ąche.

Wann brauche ich einen Pentest Mobile?

Ein Mobile-Pentest stellt sicher, dass Mobile-Apps gegen├╝ber ├╝blichen Schwachstellen robust genug sind. Sie sollten einen Mobile-Penetrationstest in den folgenden Situationen in Betracht ziehen:

  • Ihre mobile Anwendung verarbeitet oder speichert sensible Informationen?
  • Ihre Mobile-Anwendung soll bald ver├Âffentlicht werden.
  • Es wurden wesentliche Code- oder Design├Ąnderungen durchgef├╝hrt.
  • Ihre Mobile-Anwendung wurde noch nie oder vor ├╝ber einem Jahr gepr├╝ft.
  • Ein Sicherheitsvorfall ist eingetreten.
  • ├änderungen in der Technologie oder der Umgebung finden statt.
  • Zur Compliance m├╝ssen Vorschriften und Standards eingehalten werden.

In einer ├ära, in der mobile Anwendungen zu unverzichtbaren Begleitern in unserem pers├Ânlichen und beruflichen Alltag geworden sind, gewinnt die Sicherheit dieser Anwendungen eine noch nie dagewesene Bedeutung. Ein Pentest ist ein unverzichtbarer Schritt, um die Zuverl├Ąssigkeit, Sicherheit und Integrit├Ąt mobiler Anwendungen zu sch├╝tzen.

Ablauf eines Pentests f├╝r Mobile Anwendungen

1

Nach einer Beauftragung findet ein gemeinsamer Kick-off Termin statt.

  • Der Umfang des Pentests wird festgelegt.
  • Es wird diskutiert, auf welche Bedrohungen besonders eingegangen werden soll.
  • Ansprechpartner werden bekannt gegeben.
  • Ein Zeitraum wird vereinbart, in dem die Pr├╝fungen durchgef├╝hrt werden d├╝rfen.

Im Anschluss an das Treffen wird die Durchf├╝hrung des Penetrationstests vorbereitet und vor Beginn der eigentlichen Pr├╝fungen eine Freigabe erteilt.

2

In der Hauptphase des Pentests wird das System analysiert und es wird versucht Schutzziele zu verletzen.

  • Reconnaissance: Der Testgegenstand wird mit passiven und aktiven Methoden tiefgehend untersucht.
  • Enumeration: M├Âgliche Angriffsvektoren werden durch entdeckte Schwachstellen gesammelt.
  • Exploitation: Schwachstellen werden kontrolliert ausgenutzt und neue Informationen werden gewonnen.
  • Dokumentation: Die gefundenen Schwachstellen, Schritte zur Ausnutzung und konkrete Abhilfema├čnahmen werden pr├Ązise beschrieben.
3

Gemeinsame Ergebnisbesprechung, bei welcher die gefundenen Schwachstellen und Handlungsempfehlungen vorgestellt werden.

  • Pr├Ąsentation: Die Ergebnisse und deren Implikationen werden den Stakeholdern vorgestellt.
  • Empfehlungen: Konkrete Vorschl├Ąge zur Behebung von Schwachstellen werden gegeben.
  • Diskussion: Gemeinsam wird ├╝ber die n├Ąchsten Schritte zur Sicherheitsverbesserung und Risikominderung beraten.

Mit dem Ende des Pentests und dessen Ergebnissen setzt sich die Zusammenarbeit oftmals im vielf├Ąltigen Produktportfolio von aramido fort.

Normen und Standards

Eine Sicherheitspr├╝fung ist ein bew├Ąhrtes Instrument f├╝r Risikomanagement. Aus diesem Grund fordern zahlreiche Normen und Standards die regelm├Ą├čige Durchf├╝hrung eines Penetrationstests, darunter OWASP MASVS, PCI-DSS, ISO IEC 27001, TISAX (VDA ISA), NIST SP 800-53 und SOC 2. Auch Vorschriften durch die BaFin fordern mit ZAIT, VAIT, BAIT und KAIT Sicherheitspr├╝fungen ein.

Umfangreiche Pr├╝fung der Anwendung

Auch wenn es sich bei den untersuchten Anwendungen um ein relativ neues Feld handelt, existieren etablierte Standards und Vorgehensweisen, an denen sich Mobile-Pentests orientieren. Somit soll eine gr├╝ndliche und standardisierte Pr├╝fung der Sicherheitslage sichergestellt werden. Im Folgenden sind beispielhaft Pr├╝fungen aufgelistet, welche bei einem Penetrationstest-Mobile durchgef├╝hrt werden:

  • Pr├╝fungen gem├Ą├č OWASP Mobile Application Security Testing Guide (OWASP MASTG), um die kritischen Sicherheitsrisiken zu erkennen
  • Pr├╝fungen der Kommunikation mit einer API und die damit verbundenen Angriffsm├Âglichkeiten (beispielsweise SQL-Injections (SQLi) oder IDOR-Angriffe).
  • Authentifizierung und Autorisierungspr├╝fungen
  • Pr├╝fungen von Deep-Links und ├Âffentlichen Activities.
  • Pr├╝fung der Speicherung von anwendungsbezogenen Daten auf dem Smartphone.
  • Pr├╝fung von Injection Angriffen wie beispielsweise Cross Site Scripting (XSS)
  • Pr├╝fung des Rechte- und Rollenkonzepts
  • Pr├╝fung schwacher Kryptografie (Encryption at Rest und Encryption in Transit)

Bereit Ihre Mobile App abzusichern? Unsere Profis enth├╝llen Schwachstellen, bevor es Hacker tun. Kontaktieren Sie uns jetzt und verteidigen Sie Ihre Daten!

Penetrationstest anfragen

aramido ist Ihr qualifizierter Partner f├╝r Mobile-Penetrationstests

  • Tiefgreifende Sicherheitsanalyse: Unser Penetrationstest geht ├╝ber einfache Schwachstellenscans weit hinaus. aramido Pentester f├╝hren manuelle Tests durch und nutzen kreativ Angriffsvektoren, um auch komplexe Schwachstellen zu identifizieren und deren Auswirkungen auf das Gesamtsystem zu bewerten. Dies erm├Âglicht eine umfassende Analyse der Sicherheitslage Ihrer Plattform.
  • Innovative Expertise: Unser Team besteht aus hoch qualifizierten Ethical Hackern mit langj├Ąhriger Erfahrung und aktuellem Wissen ├╝ber die neuesten Bedrohungen und Angriffstechniken.
  • Ma├čgeschneiderte Ans├Ątze: Wir passen unsere Tests auf die individuellen Bed├╝rfnisse Ihrer Plattform an, sei es eine iOS-Anwendung, Android-Anwendung oder mehrere Plattformen in Kombination einer API.
  • Ganzheitliche Sicherheitsanalyse: Unser Ansatz deckt sowohl automatisierte Scans als auch manuelle Tests ab, um selbst die raffiniertesten Sicherheitsl├╝cken zu erkennen.
  • Preiswerter Penetrationstest: Wir bieten professionelle Leistungen zu sehr guten, markt├╝blichen Konditionen an.
  • Verst├Ąndliche Berichte: Unsere Berichte sind klar strukturiert und verst├Ąndlich. Sie erhalten nicht nur eine Liste von Schwachstellen, sondern auch klare Handlungsempfehlungen zur Behebung.
  • Zuverl├Ąssige Partnerschaft: Wir stehen Ihnen nicht nur w├Ąhrend des Tests zur Seite, sondern sind Ihr Ansprechpartner f├╝r alle Fragen der Informationssicherheit.
  • Kommen Sie Angreifern zuvor
  • Verhindern Sie eine Manipulation oder den Diebstahl sensibler Daten
  • Erkennen Sie Sicherheitsl├╝cken fr├╝hzeitig
  • Erh├Âhen Sie das Vertrauen in Ihre Anwendung
  • Minimieren Sie Angriffsrisiken wirksam
  • Vermeiden Sie Reputationsverlust durch kritische Schwachstellen

Artikel zum Thema

Armin Harbrecht

Am 14.11.2016 ver├Âffentlicht.

Was kostet ein Penetrationstest?

Als Penetrationstester bekommt man h├Ąufig die Frage, was die Kosten f├╝r einen Penetrationstest sind. Die Antwort h├Ąngt von verschiedenen Faktoren ab. (weiterlesen)


Andreas Sperber

Am 01.08.2016 ver├Âffentlicht.

Was ist ein Penetrationstest?

IT ist ein fes­ter Be­stand­teil un­se­res Le­bens. Ha­cker nu­tzen Schwach­stel­len aus, um da­raus Pro­fit zu schla­gen. Pe­ne­tra­tions­tests ver­bes­sern IT-Sicherheit. (weiterlesen)


Moritz Kaumanns

Am 01.02.2021 ver├Âffentlicht.

Sicherheitswarnung: Amazon Secret Key ├Âffentlich einsehbar (CVE-2020-28199)

Eine Sicher­┬ş┬şheits┬ş┬ş­l├╝cke in einem Amazon Pay Plugin f├╝r Shopware 5 erlaubt das un­auto­ri­sier­te Aus­lesen des Amazon Secret Keys (CVE-2020-28199). (weiterlesen)


Andreas Sperber

Am 28.01.2017 ver├Âffentlicht.

aramido auf der 18. Industriemesse i+e 2017

aramido ist Aus­steller auf der In­dus­trie­messe i+e 2017 in Frei­burg: Besu­cher k├Ân­nen sich am 1. und 2. Febru­ar ├╝ber In­for­mations­sicher­heit bera­ten las­sen. (weiterlesen)


Andreas Sperber

Am 19.09.2016 ver├Âffentlicht.

RoundTable: Gebt mir eure Daten!

Lang­fristiger Kun­den­er­folg Ihrer SaaS-L├­sung durch IT-Sicher­heit und Da­ten­schutz - ein Vor­trag mit Live-Hacking von aramido und eknowvation (weiterlesen)