Mobile Anwendung - ein Sicherheitsrisiko?

Mit unser Mobile App Analyse schaffen Sie Klarheit!

Immer häufiger werden Anwendungsszenarien mit mobilen Apps abgebildet. Egal ob Heizungs- oder Lichtsteuerung oder komplexe Geschäftsprozesse. Da die mobilen Plattformen vergleichsweise jung sind, ist das Bewusstsein für nachhaltig sichere Entwicklung oft nicht weit genug verbreitet. Unser Ziel ist es, Ihnen die Risiken der mobilen Anwendung aufzuzeigen und die Sicherheit durch unsere Empfehlungen nachhaltig zu verbessern. Unser Focus liegt deswegen bei den größten Risiken der mobilen Anwendungen und den maßgeschneiderten Lösungen. Denn die mobilen Anwendungen haben spezifische Schwachstellen, die nicht immer offensichtlich sind. Hinzu kommt, dass auch die Infrastruktur, die für den Betrieb der mobilen Anwendung notwendig ist, nicht außer Acht gelassen werden darf.

Das bekommen Sie bei unserer Mobile App Analyse

  • Vollständige Untersuchung der mobilen Anwendung gemäß etablierter Vorgehensweise
  • Detaillierte Analyse unter Berücksichtigung der gesamten Infrastruktur
  • Objektive Risikobewertung der gefundenen Schwachstellen
  • Effektive Empfehlungen zur Härtung der Applikation

Vorgehensweise

  • Meeting

    In einem Vorgespräch ermitteln wir Ihre Erwartungen, sowie für den Test relevante Details der Anwendung und erläutern unsere Vorgehensweise.

  • Analyse

    Während der Analyse testen wir die mobile Applikation umfassend auf Schwachstellen.

  • Report

    Die gefundenen Schwachstellen werden detailliert dokumentiert und deren Risiko bewertet.

  • Präsentation

    Die Ergebnisse der Analyse werden besprochen und die empfohlenen Gegenmaßnahmen gemeinsam diskutiert.

Analyse

Eine gelungene Analyse benötigt eine abgestimmte Planung und optimale Durchführung. Die Analyse führen wir weitestgehend autark durch, nachdem wir mit Ihnen den Zeitraum der Durchführung abgestimmt haben. Unser Vorgehen orientiert sich an dem umfangreichen OWASP Testing Guide. Mindestens so wichtig wie das strukturierte Vorgehen, ist jedoch unser Gespür, die Erfahrung und ein feines Näschen, um die oft versteckten Probleme auch wirklich aufzuspüren. All diese Fähigkeiten haben automatisierten Scanner nicht. Deshalb nutzen wir die automatisierten Tools nur zur Unterstützung und zum schnellen Auffinden erster potentieller Angriffspunkte. Dann beginnt unsere eigentliche Arbeit.

Die Untersuchung besteht aus 2 Modulen:

  • Statischer Analyse, dabei analysieren wir die Anwendung selbst
  • Dynamischer Analyse, hierbei wird die Kommunikation mit der Infrastruktur analysiert

Dabei führen wir Untersuchungen in folgenden Bereichen durch:

  • Programmierung z.B. werden die vorhandenen Sicherheitsmechanismen der mobilen Plattform genutzt?
  • Serverinfrastruktur z.B. die Versionen der eingesetzten Komponenten
  • Identitätsmanagement u.a. welche Rollen existieren in der Anwendung?
  • Authentifizierung z.B. wie werden die Benutzer-ID übertragen?
  • Autorisierung u.a. ist es möglich auf Daten anderer Benutzer zu zugreifen?
  • Sitzungsverhalten u.a. wird eine Sitzung sauber beendet?
  • Datenspeicherung z.B. werden die sensitiven Daten verschlüsselt gespeichert?
  • Informationsabfluss z.B. welche Informationen enthalten die Fehlerlogs?
  • Eingabevalidierung z.B. ist es möglich mit Benutzereingaben eigenen Code auszuführen?
  • Kryptographie z.B. werden schwache Verschlüsselungsverfahren unterstützt?
  • Transport u.a. werden veraltete Protokolle eingesetzt?

Dokumentation

Unser Bericht besteht aus mehreren Abschnitten:

  • Management Report enthält eine leicht verständliche Zusammenfassung der Ergebnisse der Analyse, inklusive der Aufzählung der "dringendsten Baustellen". Dieser Abschnitt richtet sich vor allem an Entscheider, IT- und Budget-Verantwortliche.
  • Eine Vergleich zur OWASP-Top10 Mobile Risks: Hier erfahren Sie auf einen Blick, wie gut ihre Applikation gegen die am häufigsten gefunden Schwachstellen aufgestellt ist. Denn die Angreifer nutzen gerne immer wieder Schwachstellen vom gleichen Typ, um in Applikation einzudringen.
  • ASVS Report ist eine Auswertung der Web-Applikation anhand der Application Security Verification Standard von OWASP. Diese Methodik wendet einen ganz anderen Ansatz bei der Analyse der Sicherheit der Web-Anwendung an. Anstatt primär nach Schwachstellen in der Web-Anwendung zu suchen, wird hier die erfolgreiche Umsetzung der Schutzmaßnahmen verifiziert. Die Vergleichbarkeit der Ergebnisse und die Evaluierung der Web-Anwendung stellen aus unserer Sicht die unschlagbaren Vorteile dieser Methodik dar.
  • Ergebnisse der Untersuchungen gemäß OWASP Testing Guide zusammen mit weiteren applikationsspezifischen Untersuchungen. Bei vorhandenen Schwachstellen führen wir jeweils eine individuelle, transparente und objektive Risikobewertung gemäß OWASP Risk Rating Methodology durch. Durch die Risikoanalyse der gefundenen Schwachstellen erhalten Sie eine Übersicht an welcher Stelle der Applikation die am dringendsten zu behebenden Schwachpunkte liegen.

Empfehlungen

Im kontinuierlichen Sicherheitsprozesses ist die Analyse nur eine Phase des Zyklus. Um den Übergang in die nächste Phase der Verbesserung und Optimierung zu beschleunigen, schlagen wir Ihnen in unserem Bericht die möglichen Lösungen für die Sicherheitsmängel vor. Durch die individuelle und objektive Risikobewertung der Schwachstellen bekommen die Lösungsvorschläge eine sinnvolle Priorisierung. Dabei versuchen wir unsere Lösungsvorschläge möglichst individuell auf Ihre Bedürfnisse und Umgebung zuzuschneiden. So ist der benötigte Schutzbedarf von einer Nachrichten-App wahrscheinlich geringer als von einer Online-Banking App. Ebenso unterscheiden sich die Umsetzungen von Sicherheitsmechanismen von Android und Apple iOS.