Sicherheit Ihrer mobilen Anwendungen




Mobile-Security


Wir testen für Sie mobile Anwendungen, unabhängig davon ob es eine kleine, selbst entwickelte Anwendung für Ihre Mitarbeiter oder eine komplexe, von Dienstleistern entwickelte Mobile-Banking-App ist. Gerne evaluieren wir auch Backend-Server und deren (REST)-APIs, überprüfen, ob die aktuellen Sicherheitsstandards eingehalten wurden und analysieren, an welche Stellen Risiken für Sie oder Ihre Kunden entstehen können. Unsere Angebote beziehen sich auf Android-Anwendungen, Angebote für andere Betriebssysteme liefern wir individuell auf Anfrage.

Dauer einer Untersuchung hängt vom Umfang der gewünschten Analysepunkte und der Komplexität Ihrer Anwendung ab. Den genaueren Verlauf, Zeitrahmen und den Scope eines Projekts besprechen wir mit Ihnen zu Beginn des Projektes.

Bei Bedarf melden wir kritische Schwachstellen schon im Verlauf des Projektes. Abschließend fertigen wir Ihnen einen detaillierten Bericht in dem nicht nur die Befunde aufgelistet sind, sondern auch entsprechende Handlungsempfehlungen zur Mitigation der Schwachstellen.



App-Penetrationtest Light

  • Überprüfung der Metadaten wie App-Permissions, exportierte Schnittstellen und SSL-Konfiguration
  • Enumerierung des App-Typs (Nativ oder Cross-Plattform, als Hybrid- oder Web-App)
  • Enumerierung des App-SDKs (Nativ, Xamarin oder Webtechnologien wie Cordova, React Native etc.)
  • Überprüfung der mit der App ausgelieferten Assets, Dateien und Zugangsdaten, wie API-Schlüssel
  • Statische Code-Analyse mit Reverse Engineering Tools oder mit dem zur Verfügung gestellten Quellcode
  • Abgleich der eingesetzten Technologien mit bekannten Sicherheitslücken (CVE)
  • Rudimentäre Überprüfung des ein- und ausgehenden Netzwerkverkehrs und der Transportverschlüsselung
  • Rudimentäre Überprüfung des Server-Backends auf Injection-Angriffe, wie Cross Site Scripting (XSS), Cross Application Scripting (CAS) und SQL Injection (SQLi)

  • Berichterstellung mit Darstellung aller gefundenen Schwachstellen
  • Detaildarstellung der Befunde enthält eine Beschreibung der Schwachstelle selbst inklusive Referenzierung auf CVE und/oder CWE, wie diese ausgenutzt wurde sowie Handlungsempfehlungen zur Mitigierung
  • Qualitätssicherung des Berichts

App-Penetrationtest Medium

  • Inhalte des App-Penetrationstest Light
  • Dynamische Analyse der Anwendung auf unserer Testumgebung
  • Überprüfung der App-internen Kryptographie
  • Tiefgreifende Überprüfung des ein- und ausgehenden Netzwerkverkehrs, wenn nötig auch unter Umgehung zusätzlicher Sicherheitsmaßnahmen, wie SSL-Pinning
  • Enumerierung und rudimentäres Testen der API-Endpunkte, sofern vorhanden

App-Penetrationtest Deep

  • Inhalte des App-Penetrationstest Medium
  • Abdeckung des OWASP Mobile Top 10 in Anlehnung an den OWASP Mobile Security Testing Guide (MSTG) für statische Analyse
  • Detaillierte Tests aller Eingabemöglichkeiten und aller gefundenen API-Endpunkte
  • Enumeration von Kundendaten, falls nötig auch über Bruteforce-Angriffe

  • Wenn möglich, das Erstellen einer Kill Chain zur kompletten Kompromittierung der Anwendung und/oder des Backends
  • Proof-of-Concept-Erstellung und -Dokumentation zum einfacheren Nachvollziehen der Befunde



  • CIWATCH


    IT-Monitoring

    Das umfassendste KnowHow zur Überwachung Ihrer IT-Services


    Mehr erfahren
  • CIDESK


    Enterprise-((OTRS)) Community Edition

    Geschäftsprozesse und Kommunikation perfekt managen


    Mehr erfahren
  • CISQUAD


    Wir machen sauber

    Cyber-Angriffe abwehren und
    Sicherheit wieder herstellen


    Mehr erfahren
  • CICHECK


    Wir hacken Sie!

    Stellen Sie Ihre Sicherheit
    auf die Probe


    Mehr erfahren

Ihre Internet Explorer Version ist nicht für unsere Webseite optimiert und kann möglicherweise Fehler in der Darstellung aufweisen.
Bitte aktualisieren Sie ihren Browser auf den aktuellsten Stand - Vielen Dank!

Verstanden!