Mobile App Security
Pentests für mobile Apps
Persönliche Informationen, Fotos oder Kontoangaben – Apps speichern eine Vielzahl an sensiblen Daten. Sind Applikationen allerdings nicht ausreichend vor potenziellen Hackerangriffen geschützt, sind diese privaten Daten in Gefahr.
Mittels bedarfsgerechter Penetrationstests (Pentests) stellen wir Ihre App(s) auf den Sicherheits-Prüfstand.
Ein App-Pentest (Mobile App Penetration Testing) ist eine IT-Sicherheitsmaßnahme, mit der die Sicherheit von mobilen Applikationen (kurz: Apps) überprüft und bewertet wird.
Ziel ist es, mögliche Schwachstellen sowie Angriffspunkte frühzeitig zu identifizieren und damit die Sicherheit der getesteten App zu erhöhen. Ausgebildete IT-Sicherheitsexpert:innen setzen dabei auf Methoden und Mittel, die auch echte Angreifer:innen nutzen würden.
Mobile Apps sind häufige Ziele von Cyberangriffen – umso wichtiger ist es, ihre Sicherheit gezielt zu überprüfen. Penetrationstests helfen dabei, Schwachstellen frühzeitig zu erkennen, Risiken zu minimieren und das Vertrauen von Nutzern sowie Geschäftspartnern zu stärken.
Datenspeicherung: Neben Datenverlust bei Diebstahl, Verlust oder unbefugtem Zugriff auf ein Gerät kann dieser ebenso durch bösartige Apps entstehen. Es wird u.a. geprüft, wie die App Daten verarbeitet, überträgt und auf dem Gerät speichert.
Netzwerkkommunikation: Eine sichere Datenübertragung ist insbesondere bei mobilen Geräten ein wichtiger Aspekt. Es wird u. a. überprüft, ob die Daten beim Transport sicher verschlüsselt sind und (TLS-)Zertifikate korrekt überprüft werden.
Plattform-Interaktion: Mobile Betriebssysteme unterscheiden sich zu Desktop-Betriebssystemen, bspw. durch die Vergabe von Berechtigungen pro App oder eine Interprozess-Kommunikationsmöglichkeit (IPC) zum Datenaustausch. Diese und weitere Funktionen werden hinsichtlich sicherer Nutzung überprüft.
Authentifizierung und Session Management: Der Schutzmechanismus der App bzw. der Daten der App vor unberechtigtem Zugriff wird überprüft. Hier stehen (falls vorhanden) ebenfalls die Endpunkte (Backend-Systeme) im Fokus.
Kryptografie: Insbesondere bei mobilen Geräten spielt der Schutz von Daten eine große Rolle. Es wird u.a. geprüft, ob aktuelle kryptografische Verfahren und Algorithmen verwendet werden, bspw. zur Speicherung von Daten..
Manipulationssicherheit/Resilienz: Wird die App vor unberechtigten Manipulationen geschützt, erhöht dies noch einmal die Sicherheit, bspw. gegen Reverse Engineering.
API-Endpunkte / Backend: Fast jede App kommuniziert mit Backend-Diensten (API-Endpunkten), die oft für die gleichen Arten von Angriffen anfällig sind wie Webapplikationen. Daher werden auch die OWASP Top 10 Schwachstellen für Webanwendungen/APIs (wo möglich) stichprobenartig mit einbezogen.
Der Abschlussbericht wird von unseren Expertinnen und Experten immer individuell und leicht verständlich erstellt (keine automatische Generierung) und enthält mindestens folgende Informationen:
Die Vorgehensweise der TÜVIT-Expert:innen orientiert sich an dem OWASP Application Security Verification Standard (ASVS), der grundlegende Sicherheitsanforderungen für Webanwendungen beschreibt sowie dem OWASP Web Security Testing Guide (WSTG), der darstellt, wie die Anforderungen aus dem ASVS überprüft werden können. Des Weiteren werden die OWASP Top 10 Schwachstellen für Webanwendungen sowie das Durchführungskonzept für Penetrationstests vom BSI berücksichtigt.
Die Kosten hängen von der gewählten Untersuchungsart (Level 1 bis 3) sowie der Komplexität des Untersuchungsgegenstandes ab. Ein Spot Check bewegt sich im unteren bis mittleren vierstelligen Bereich. Der Regular Pentest liegt im oberen vierstelligen bzw. unteren fünfstelligen Bereich und der Advanced Pentest beginnt im unteren fünfstelligen Bereich. Für eine genaue Preisindikation benötigen wir weitere Informationen zu Ihrer Webanwendung.
Die Testdauer hängt von der gewählten Untersuchungsart (Level 1 bis 3) ab, siehe oben. Abweichend vom Testzeitraum wird ein Zeitraum von mindestens 1 Woche beim Spot Check (Level 1) bzw. mindestens 2 Wochen beim Regular (Level 2) und Advanced (Level 3) Pentest angenommen.
Gute Gründe, die für uns sprechen