Mobile-Penetrationstest

Lassen Sie die Sicherheit Ihrer Mobile-Anwendung von unseren Experten überprüfen.

  1. Start
  2. IT-Sicherheitsprüfung
  3. Mobile-Penetrationstest

Was ist ein Mobile-Pentest?

Smartphones sind aus dem alltäglichen Leben nicht mehr wegzudenken. Doch durch die starke alltägliche Nutzung und die damit verbundenen persönlichen Daten gewinnt das Thema Sicherheit dieser Anwendungen ebenfalls an Bedeutung. Um das Vertrauen in mobile Anwendungen zu erhalten und die Daten der Nutzer zu schützen, sollten Schwächen möglichst früh erkannt werden.

Bei einem Mobile-Pentest werden Angriffe auf eine mobile Anwendung (App) simuliert. Dabei untersuchen Sicherheitsexperten (Ethical Hacker) die Anwendung mit ihrer Expertise auf potenzielle Sicherheitslücken und Schwachstellen. Ein Mobile-Penetrationstest ähnelt einem traditionellen Penetrationstest, er konzentriert sich jedoch auf die spezifischen Schwachstellen mobiler Umgebungen.

Insgesamt werden unterschiedliche Angriffsvektoren von den Experten untersucht. Darunter fallen unter anderem die Überprüfung auf Anfälligkeit für Datendiebstahl, Prüfungen von APIs, Untersuchung von klassischen Sicherheitslücken in der Client-Anwendung oder auch die Feststellung von Schwächen im Berechtigungsmanagement.

Prüfen Sie Ihre mobilen Anwendungen durch einen Mobile-Pentest und identifizieren sie bestehende Sicherheitsmängel und beseitigen sie diese, bevor sie von Angreifern ausgenutzt werden können.

  • Kommen Sie Angreifern zuvor
  • Verhindern Sie eine Manipulation oder den Diebstahl sensibler Daten
  • Erkennen Sie Sicherheitslücken frühzeitig
  • Erhöhen Sie das Vertrauen in Ihre Anwendung
  • Minimieren Sie Angriffsrisiken wirksam
  • Vermeiden Sie Reputationsverlust durch kritische Schwachstellen
Penetrationstest anfragen
<activity android:name=".WebviewActivity">
    <intent-filter>
        <action android:name="android.intent.action.VIEW" />
        <category android:name="android.intent.category.DEFAULT" />
        <category android:name="android.intent.category.BROWSABLE" />
        <data
            android:scheme="shop"
            android:host="example"
            android:pathPrefix="/"
        />
    </intent-filter>
</activity>
Codebeispiel 1 Beispiel einer Android-Anwendung mit öffentlichem URL-Schema. Öffentlich erreichbare Schnittstellen bieten häufig eine Angriffsfläche.

Wann brauche ich einen Pentest Mobile?

Ein Mobile-Pentest stellt sicher, dass Mobile-Apps gegenüber üblichen Schwachstellen robust genug sind. Sie sollten einen Mobile-Penetrationstest in den folgenden Situationen in Betracht ziehen:

  • Ihre mobile Anwendung verarbeitet oder speichert sensible Informationen?
  • Ihre Mobile-Anwendung soll bald veröffentlicht werden.
  • Es wurden wesentliche Code- oder Designänderungen durchgeführt.
  • Ihre Mobile-Anwendung wurde noch nie oder vor über einem Jahr geprüft.
  • Ein Sicherheitsvorfall ist eingetreten.
  • Änderungen in der Technologie oder der Umgebung finden statt.
  • Zur Compliance müssen Vorschriften und Standards eingehalten werden.

In einer Ära, in der mobile Anwendungen zu unverzichtbaren Begleitern in unserem persönlichen und beruflichen Alltag geworden sind, gewinnt die Sicherheit dieser Anwendungen eine noch nie dagewesene Bedeutung. Ein Pentest ist ein unverzichtbarer Schritt, um die Zuverlässigkeit, Sicherheit und Integrität mobiler Anwendungen zu schützen.

Ablauf eines Pentests für Mobile Anwendungen

1

Nach einer Beauftragung findet ein gemeinsamer Kick-off Termin statt.

  • Der Umfang des Pentests wird festgelegt.
  • Es wird diskutiert, auf welche Bedrohungen besonders eingegangen werden soll.
  • Ansprechpartner werden bekannt gegeben.
  • Ein Zeitraum wird vereinbart, in dem die Prüfungen durchgeführt werden dürfen.

Im Anschluss an das Treffen wird die Durchführung des Penetrationstests vorbereitet und vor Beginn der eigentlichen Prüfungen eine Freigabe erteilt.

2

In der Hauptphase des Pentests wird das System analysiert und es wird versucht Schutzziele zu verletzen.

  • Reconnaissance: Der Testgegenstand wird mit passiven und aktiven Methoden tiefgehend untersucht.
  • Enumeration: Mögliche Angriffsvektoren werden durch entdeckte Schwachstellen gesammelt.
  • Exploitation: Schwachstellen werden kontrolliert ausgenutzt und neue Informationen werden gewonnen.
  • Dokumentation: Die gefundenen Schwachstellen, Schritte zur Ausnutzung und konkrete Abhilfemaßnahmen werden präzise beschrieben.
3

Gemeinsame Ergebnisbesprechung, bei welcher die gefundenen Schwachstellen und Handlungsempfehlungen vorgestellt werden.

  • Präsentation: Die Ergebnisse und deren Implikationen werden den Stakeholdern vorgestellt.
  • Empfehlungen: Konkrete Vorschläge zur Behebung von Schwachstellen werden gegeben.
  • Diskussion: Gemeinsam wird über die nächsten Schritte zur Sicherheitsverbesserung und Risikominderung beraten.

Mit dem Ende des Pentests und dessen Ergebnissen setzt sich die Zusammenarbeit oftmals im vielfältigen Produktportfolio von aramido fort.

Normen und Standards

Eine Sicherheitsprüfung ist ein bewährtes Instrument für Risikomanagement. Aus diesem Grund fordern zahlreiche Normen und Standards die regelmäßige Durchführung eines Penetrationstests, darunter OWASP MASVS, PCI-DSS, ISO IEC 27001, TISAX (VDA ISA), NIST SP 800-53 und SOC 2. Auch Vorschriften durch die BaFin fordern mit ZAIT, VAIT, BAIT und KAIT Sicherheitsprüfungen ein.

Umfangreiche Prüfung der Anwendung

Auch wenn es sich bei den untersuchten Anwendungen um ein relativ neues Feld handelt, existieren etablierte Standards und Vorgehensweisen, an denen sich Mobile-Pentests orientieren. Somit soll eine gründliche und standardisierte Prüfung der Sicherheitslage sichergestellt werden. Im Folgenden sind beispielhaft Prüfungen aufgelistet, welche bei einem Penetrationstest-Mobile durchgeführt werden:

  • Prüfungen gemäß OWASP Mobile Application Security Testing Guide (OWASP MASTG), um die kritischen Sicherheitsrisiken zu erkennen
  • Prüfungen der Kommunikation mit einer API und die damit verbundenen Angriffsmöglichkeiten (beispielsweise SQL-Injections (SQLi) oder IDOR-Angriffe).
  • Authentifizierung und Autorisierungsprüfungen
  • Prüfungen von Deep-Links und öffentlichen Activities.
  • Prüfung der Speicherung von anwendungsbezogenen Daten auf dem Smartphone.
  • Prüfung von Injection Angriffen wie beispielsweise Cross Site Scripting (XSS)
  • Prüfung des Rechte- und Rollenkonzepts
  • Prüfung schwacher Kryptografie (Encryption at Rest und Encryption in Transit)

Bereit Ihre Mobile App abzusichern? Unsere Profis enthüllen Schwachstellen, bevor es Hacker tun. Kontaktieren Sie uns jetzt und verteidigen Sie Ihre Daten!

Penetrationstest anfragen

Penetrationstests (Übersicht)

Unterschiedliche Varianten von Penetrationstest für Ihre Assets

Penetrationstest Web

Prüfung von Webanwendungen und Ausnutzung deren Schwachstellen

Penetrationstests Infrastruktur

Sicherheitstests von Komponenten der IT-Infrastruktur wie Server und Dienste

Belastungstests und Dienstausfallprüfung

Stresstests von IT-Systemen

Schwach­stellen­scan

Automatisierte und effiziente Prüfung auf bekannte Schwachstellen

Red Teaming

Digitale und physische Angriffe gegen die gesamte Organisation

aramido ist Ihr qualifizierter Partner für Mobile-Penetrationstests

  • Tiefgreifende Sicherheitsanalyse: Unser Penetrationstest geht über einfache Schwachstellenscans weit hinaus. aramido Pentester führen manuelle Tests durch und nutzen kreativ Angriffsvektoren, um auch komplexe Schwachstellen zu identifizieren und deren Auswirkungen auf das Gesamtsystem zu bewerten. Dies ermöglicht eine umfassende Analyse der Sicherheitslage Ihrer Plattform.
  • Innovative Expertise: Unser Team besteht aus hoch qualifizierten Ethical Hackern mit langjähriger Erfahrung und aktuellem Wissen über die neuesten Bedrohungen und Angriffstechniken.
  • Maßgeschneiderte Ansätze: Wir passen unsere Tests auf die individuellen Bedürfnisse Ihrer Plattform an, sei es eine iOS-Anwendung, Android-Anwendung oder mehrere Plattformen in Kombination einer API.
  • Ganzheitliche Sicherheitsanalyse: Unser Ansatz deckt sowohl automatisierte Scans als auch manuelle Tests ab, um selbst die raffiniertesten Sicherheitslücken zu erkennen.
  • Preiswerter Penetrationstest: Wir bieten professionelle Leistungen zu sehr guten, marktüblichen Konditionen an.
  • Verständliche Berichte: Unsere Berichte sind klar strukturiert und verständlich. Sie erhalten nicht nur eine Liste von Schwachstellen, sondern auch klare Handlungsempfehlungen zur Behebung.
  • Zuverlässige Partnerschaft: Wir stehen Ihnen nicht nur während des Tests zur Seite, sondern sind Ihr Ansprechpartner für alle Fragen der Informationssicherheit.
  • Kommen Sie Angreifern zuvor
  • Verhindern Sie eine Manipulation oder den Diebstahl sensibler Daten
  • Erkennen Sie Sicherheitslücken frühzeitig
  • Erhöhen Sie das Vertrauen in Ihre Anwendung
  • Minimieren Sie Angriffsrisiken wirksam
  • Vermeiden Sie Reputationsverlust durch kritische Schwachstellen
Penetrationstest anfragen

Artikel zum Thema

Armin Harbrecht

Am 14.11.2016 veröffentlicht.

Was kostet ein Penetrationstest?

Als Penetrationstester bekommt man häufig die Frage, was die Kosten für einen Penetrationstest sind. Die Antwort hängt von verschiedenen Faktoren ab. (weiterlesen)

Andreas Sperber

Am 01.08.2016 veröffentlicht.

Was ist ein Penetrationstest?

IT ist ein fes­ter Be­stand­teil un­se­res Le­bens. Ha­cker nu­tzen Schwach­stel­len aus, um da­raus Pro­fit zu schla­gen. Pe­ne­tra­tions­tests ver­bes­sern IT-Sicherheit. (weiterlesen)

Moritz Kaumanns

Am 01.02.2021 veröffentlicht.

Sicherheitswarnung: Amazon Secret Key öffentlich einsehbar (CVE-2020-28199)

Eine Sicher­­­heits­­­lücke in einem Amazon Pay Plugin für Shopware 5 erlaubt das un­auto­ri­sier­te Aus­lesen des Amazon Secret Keys (CVE-2020-28199). (weiterlesen)

Andreas Sperber

Am 28.01.2017 veröffentlicht.

aramido auf der 18. Industriemesse i+e 2017

aramido ist Aus­steller auf der In­dus­trie­messe i+e 2017 in Frei­burg: Besu­cher kön­nen sich am 1. und 2. Febru­ar über In­for­mations­sicher­heit bera­ten las­sen. (weiterlesen)

Andreas Sperber

Am 19.09.2016 veröffentlicht.

RoundTable: Gebt mir eure Daten!

Lang­fristiger Kun­den­er­folg Ihrer SaaS-Lö­sung durch IT-Sicher­heit und Da­ten­schutz - ein Vor­trag mit Live-Hacking von aramido und eknowvation (weiterlesen)

Themenfelder

Mobile Security Ethical Hacker Datendiebstahl Cross Site Scripting (XSS) Informationssicherheit Man-In-The-Middle (MIM) Security Audit SQL Injections Threat Modeling MDM White Hat Hacker