Mobile Sicherheit

Penetrationstest für mobile Apps

Prüfen Sie die Sicherheit Ihrer mobilen Anwendungen – inklusive Quellcode – und härten Sie Ihre App gegen potenzielle Angriffe ab.

Schwachstellen aufdecken

Unsere Partner

Sicherheit für mobile Anwendungen

Unsere Penetrationstests decken Schwachstellen in mobilen Anwendungen auf, bieten klare Empfehlungen zur Härtung und schützen Ihr Unternehmen vor Cyberangriffen – präventiv und umfassend.

  • Individuelles Assessment

    Sicherheitsprüfungen, die gezielt auf die Architektur Ihrer mobilen Anwendung zugeschnitten sind.

  • Flexible Schutzstufen

    Wählen Sie zwischen Basisschutz, erweitertem Schutz oder einer Prüfung gegen Reverse Engineering.

  • Vorsorge, die sich auszahlt

    Verhindern Sie Angriffe, bevor sie entstehen, und reduzieren Sie finanzielle Risiken sowie mögliche Reputationsverluste.

Penetrationstest von mobilen Anwendungen

Wie wir ihre Anwendung überprüfen

Unser Penetrationstest folgt einem strukturierten Ansatz, basierend auf dem OWASP Mobile Security Testing Guide und den Richtlinien des BSI. Wir garantieren klare Ergebnisse und umsetzbare Handlungsempfehlungen.

Schwachstellen aufdecken

  1. Vorbereitung

    Wir legen technische und organisatorische Rahmenbedingungen fest und definieren den Testumfang sowie potenzielle Risiken.

  2. Analyse

    Statische und dynamische Tests decken Schwachstellen auf, OSINT- und Schwachstellenscanner identifizieren mögliche Angriffspfade.

  3. Ergebnisbericht

    Ein detaillierter Bericht mit Schwachstellen, Handlungsempfehlungen und Online-Präsentation schließt den Test ab.

    DigiFors is a trusted partner of Wazuh, delivering exceptional IT forensics and SOC services through advanced threat detection, incident response, and security monitoring solutions.

    Wazuh

    The Open Source Security Platform,

    Professional, efficient and always up to date - working with DigiFors is a real benefit

    Alex Daniel

    Customer Success Manager, Securden

    Schnelle Lösungen, klare Kommunikation und Top-Expertise – genau so stellt man sich eine perfekte Zusammenarbeit vor!

    Martin Schaletzky

    Vorstand, Deskcenter AG

Penetrationstest von mobilen Anwendungen

Expertise, auf die Sie vertrauen können

Die Vielfalt mobiler Anwendungen erfordert spezialisierte Ansätze. Unser interdisziplinäres Team vereint Expertenwissen aus den Bereichen Web-, Netzwerk- und Mobile Security, um Ihre Anwendungen umfassend und plattformübergreifend abzusichern.

Schwachstellen erkennen, Apps schützen

Entdecken Sie Sicherheitslücken, härten Sie Ihre mobilen Anwendungen und sichern Sie sensible Daten – bevor Angreifer zuschlagen.

Schwachstellen aufdecken
Penetrationstest von mobilen Anwendungen anfragen

Häufig gestellte Fragen zum Penetrationstest von mobilen Anwendungen

  • Wie lange dauert ein Penetrationstest für mobile Anwendungen?

    Üblicherweise benötigen wir etwa 3 bis 5 Tage pro mobile Anwendung. Mit erhöhter Funktionskomplexität oder vielen Berechtigungsebenen kann es auch länger dauern.

  • Was müssen wir vorbereiten?

    • Bereitstellung der APK/IPA in 2 Varianten: Wir benötigen ein Release Build sowie ein Debug Build ohne die Implementierung der Anti-Reverse-Engineering-Maßnahmen (ohne SSL Pinning, Root/Emulator-Erkennung, Code-Obfuscation, File-Integrity-Checks etc.). Dies stellt die effiziente getrennte Analyse von Schutzlevel (Basis & Erweitert) und Resilienz gegen Reverse Engineering sicher.
    • Bereitstellung von Testaccounts: Wenn Rollen mit unterschiedlichen Rechten existieren (Administrator, Manager, normaler Nutzer etc), benötigen wir für die zu untersuchenden Rollen jeweils 2 Testaccounts. Somit lässt sich Potential zur horizontalen und vertikalen Rechteerweiterung effizient identifizieren.
    • Whitelisting der IP-Adresse der Penetrationstester: Schwachstellenscanner sind ein elementarer Bestandteil eines Penetrationstests, um Prozessmodule zu automatisieren, sodass der Fokus der manuellen Prüfungen auf den ausschließlich manuell prüfbaren Punkten liegen kann. Dabei wird üblicherweise Datenverkehr erzeugt, der von Defensivmechanismen erkannt und geblockt wird. Um einen störungsfreien Einsatz des Schwachstellenscanners zu gewährleisten, arbeiten wir mit einem Whitelisting der IP-Adresse, von der gescannt wird.

  • Wie gestaltet sich die statische und dynamische Analyse?

    Die statische Analyse bezieht sich ausschließlich auf Informationsquellen, welche auch ohne Ausführung der Anwendung zur Verfügung stehen. Dies betrifft insbesondere den Quellcode, sowie alle Konfigurations- und Ressourcendateien. Oft genügt ein Decompiler, um Zugang zum Quellcode zu erhalten. Zusätzlich werden Tools eingesetzt, um die zur Verfügung stehenden Dateien nach bestimmten Mustern und Implementierungen zu durchsuchen.

    Während der dynamischen Analyse werden Informationsquellen verwendet, welche sich aus dem Laufzeitverhalten der mobilen Anwendung ergeben. Mittels Virtualisierungen sowie physischen Geräte wird in einer Man-in-the-Middle-Architektur eine Testumgebung aufgespannt. Gerootete bzw. gejailbreakte Betriebssysteme erweitern die Möglichkeiten des Penetrationstesters zur Datenakquise und -analyse.

  • Was sind übliche Verhaltensregeln?

    • Handlungsrahmen gemäß Autorisierung: Ziele, Zeiten, Techniken
    • Ausnutzung von Schwachstellen, wenn die Folgen abgeschätzt werden können
    • Üblicherweise kein DoS / Stress Testing
    • Als hoch oder kritisch eingestufte Befunde werden sofort kommuniziert, um erste Maßnahmen einleiten zu können
    • Personenbezogene Daten werden nach Maßgabe DSGVO behandelt

  • Was ist im Abschlussbericht enthalten?

    Die Schwachstellen werden verständlich mit möglichen Folgen beschrieben und mit einem nachvollziehbarem Proof-of-Concept ergänzt.

    Die konkreten Empfehlungen orientieren sich an der realen Umsetzbarkeit und sind mit hilfreichen Links versehen.

    Die Management Summary erklärt die technisch komplexen Sachverhalte möglichst einfach.

    Mit der Findings-Übersicht behält man auch bei umfangreichen Berichten den Überblick.

    Bei einer gemeinsamen Präsentation gehen wir den Bericht Punkt für Punkt durch, so dass keine Fragen offen bleiben.

  • Was wird untersucht?

    Unbeabsichtigt offengelegte Informationen, Authentifizierungsprozess, Potential für Rechteerweiterung, Session Management, alle Arten von Injection-Angriffen, API, Kryptographie, Manipulation der Geschäftslogik, Resilienz gegen Reverse Engineering

  • Welchen Erkenntnisgewinn hat man nach Abschluss der Tests?

    Wir liefern Ihnen Antworten auf folgende Fragen:

    • Welche Schwachstellen existieren, welche Folgen resultieren daraus und wie lassen sie sich in einem realen Szenario ausnutzen?
    • Können Front-/Backendsysteme kompromittiert werden?
    • Welche sensiblen Daten können abgegriffen werden?
    • Erkennen oder schützen Ihre Defensivsysteme vor unseren Angriffen?
    • Wie können Geschäftsprozesse manipuliert werden?

  • Inwieweit wird Support nach Abschluss des Penetrationstests geboten?

    Werden Informationen benötigt, welche nicht Teil des Berichts sind, werden diese, auf Basis der ständigen Dokumentation während des Penetrationstests, nachgeliefert. Auch nach der Präsentation des Berichtes kann mit dem Penetrationstester telefonisch oder per Mail Kontakt aufgenommen werden, um Fragen zu den dargestellten Schwachstellen, deren Auswirkungen sowie Behebung zu klären.

  • Welche Tools kommen zum Einsatz?

      • Mobile Security Framework (statische und dynamische Analyse)
      • Burp Suite Professional (webspezifische Schwachstellen)
      • Genymotion (Virtualisierung)
      • Frida und darauf basierende Tools wie Objection, RMS, fridump, frida-ios-dump etc. (dynamische Instrumentierung, Hooking)
      • Wireshark (Netzwerkverkehrsanalyse)
      • Ghidra (Decompiler)
      • UFED (forensische Analyse und Datenextraktion)

Sie haben Fragen oder benötigen Unterstützung?

Falls Sie Fragen haben oder zusätzliche Informationen benötigen, zögern Sie bitte nicht, uns zu kontaktieren.

Allgemeine Anfrage