Mobile Anwendung – ein Sicherheitsrisiko?

Mit unserer Mobile App-Analyse schaffen Sie Klarheit!

Hinweise: Dieses Beratungspacket wird durch einen unserer Partnern angeboten

Immer häufiger werden Anwendungsszenarien mit mobilen Apps abgebildet. Egal ob Heizungs- oder Lichtsteuerung oder komplexe Geschäftsprozesse. Da die mobilen Plattformen vergleichsweise jung sind, ist das Bewusstsein für nachhaltig sichere Entwicklung oft nicht weit genug verbreitet. Unser Ziel ist es, Ihnen die Risiken der mobilen Anwendung aufzuzeigen und die Sicherheit durch unsere Empfehlungen nachhaltig zu verbessern. Unser Fokus liegt deswegen bei den größten Risiken der mobilen Anwendungen und den maßgeschneiderten Lösungen. Denn die mobilen Anwendungen haben spezifische Schwachstellen, die nicht immer offensichtlich sind. Hinzu kommt, dass auch die Infrastruktur, die für den Betrieb der mobilen Anwendung notwendig ist, nicht außer Acht gelassen werden darf.

Allgemein

Kontakt

Haben Sie Fragen oder Anregungen? Schicken Sie uns eine E-Mail an info@jsperts.de oder rufen Sie uns unter 06151-8005540 an. Sie können auch gerne unser Anfrage-Formular benutzen.

Ablauf

1) Vorgespräch

In einem Telefonat ermitteln wir Ihre Erwartungen, sowie für den Test relevante Details der Anwendung und erläutern unsere Vorgehensweise.

2) Analyse

Eine gelungene Analyse benötigt eine abgestimmte Planung und optimale Durchführung. Die Analyse führen wir weitestgehend autark durch, nachdem wir mit Ihnen den Zeitraum der Durchführung abgestimmt haben. Unser Vorgehen orientiert sich an dem umfangreichen OWASP Testing Guide. Mindestens so wichtig wie das strukturierte Vorgehen ist jedoch unser Gespür, die Erfahrung und ein feines Näschen, um die oft versteckten Probleme auch wirklich aufzuspüren. All diese Fähigkeiten haben automatisierte Scanner nicht. Deshalb nutzen wir die automatisierten Tools nur zur Unterstützung und zum schnellen Auffinden erster potentieller Angriffspunkte. Dann beginnt unsere eigentliche Arbeit.

Die Untersuchung besteht aus 2 Modulen:

  • Statische Analyse, dabei analysieren wir die Anwendung selbst
  • Dynamische Analyse, hierbei wird die Kommunikation mit der Infrastruktur analysiert

Dabei führen wir Untersuchungen in folgenden Bereichen durch:

  • Programmierung, z. B. werden die vorhandenen Sicherheitsmechanismen der mobilen Plattform genutzt?
  • Serverinfrastruktur, z. B. die Versionen der eingesetzten Komponenten
  • Identitätsmanagement, u. a. welche Rollen existieren in der Anwendung?
  • Authentifizierung, z. B. wie werden die Benutzer-IDs übertragen?
  • Autorisierung, u. a. ist es möglich auf Daten anderer Benutzer zuzugreifen?
  • Sitzungsverhalten, u. a. wird eine Sitzung sauber beendet?
  • Datenspeicherung, z. B. werden die sensitiven Daten verschlüsselt gespeichert?
  • Informationsabfluss, z. B. welche Informationen enthalten die Fehlerlogs?
  • Eingabevalidierung, z. B. ist es möglich mit Benutzereingaben eigenen Code auszuführen?
  • Kryptographie, z. B. werden schwache Verschlüsselungsverfahren unterstützt?
  • Transport, u. a. werden veraltete Protokolle eingesetzt?

3) Dokumentation

Unser Bericht besteht aus mehreren Abschnitten:

  • Der Management Report enthält eine leicht verständliche Zusammenfassung der Ergebnisse der Analyse, inklusive der Aufzählung der „dringendsten Baustellen“. Dieser Abschnitt richtet sich vor allem an Entscheider, IT- und Budget-Verantwortliche.
  • Ein Vergleich zur OWASP-Top10 Mobile Risks: Hier erfahren Sie auf einen Blick, wie gut ihre Applikation gegen die am häufigsten gefundenen Schwachstellen aufgestellt ist. Denn die Angreifer nutzen gerne immer wieder Schwachstellen vom gleichen Typ, um in Applikation einzudringen.
  • Der ASVS Report ist eine Auswertung der Web-Applikation anhand des Application Security Verification Standards vom OWASP. Diese Methodik wendet einen ganz anderen Ansatz bei der Analyse der Sicherheit der Web-Anwendung an. Anstatt primär nach Schwachstellen in der Web-Anwendung zu suchen, wird hier die erfolgreiche Umsetzung der Schutzmaßnahmen verifiziert. Die Vergleichbarkeit der Ergebnisse und die Evaluierung der Web-Anwendung stellen aus unserer Sicht die unschlagbaren Vorteile dieser Methodik dar.
  • Ergebnisse der Untersuchungen gemäß des OWASP Testing Guides zusammen mit weiteren applikationsspezifischen Untersuchungen. Bei vorhandenen Schwachstellen führen wir jeweils eine individuelle, transparente und objektive Risikobewertung gemäß OWASP Risk Rating Methodology durch. Durch die Risikoanalyse der gefundenen Schwachstellen erhalten Sie eine Übersicht an welcher Stelle der Applikation die am dringendsten zu behebenden Schwachpunkte liegen.

4) Präsentation

Die Ergebnisse der Analyse werden besprochen und die empfohlenen Gegenmaßnahmen gemeinsam diskutiert. Dieser Abschitt kann entweder in einer Telefonkonferenz oder bei Ihnen vor Ort durchgeführt werden.

Anfrage