Penetrační test mobilní aplikace

Penetrační test mobilní aplikace hledá nedostatky v zabezpečení dat na chytrém telefonu, ve způsobu komunikace aplikace se serverem i na serveru samotném. Máme zkušenosti s platformami Android i iOS.

Přínosy

Ačkoliv se mobilní aplikace často podobají svým webovým protějškům, z pohledu bezpečnosti přinášejí nová rizika. Vývojáři mohou podlehnout iluzi, že mobilní zařízení jsou důvěryhodnější než webové prohlížeče, a opomenout tak důslednou validaci vstupních dat.

Mobilní aplikace jsou běžně instalovány na telefony, které mají slabý PIN nebo nepodporovanou verzi OS, což může ohrožovat uložená data. Další riziko představuje snadná dekompilace aplikací, díky které mohou útočníci z aplikačního balíčku získat například skryté API endpointy, šifrovací klíče nebo API klíče.

V neposlední řadě jsou rizikem serverová API vytvořená speciálně pro mobilní aplikace, která tak nejsou jinými penetračními testy pokryta.

Penetrační test mobilní aplikace doporučujeme provádět u všech typů mobilních aplikací: určených koncovým zákazníkům (e-shopy, zákaznické portály), pracujících s kritickými daty (bankovnictví) i pro interní systémy.

V případech, kdy mobilní aplikace pouze vkládá funkcionalitu webové aplikace (WebView), může být dostatečný test webové aplikace.

Průběh testů

Testy nabízíme pro Android nebo iOS, je možné testovat obě platformy současně.

Testy začínají instalací aplikace na testovací mobilní telefony, a to buď z oficiálních obchodů (Google Play, App Store), z portálů pro beta testery, nebo přímo z balíčků (APK, IPA). Pro zlepšení kvality výstupů je vhodné poskytnout i zdrojové kódy aplikací. Testy prověřující aplikační logiku a řízení přístupu vyžadují poskytnutí přihlašovacích účtů.

Testování vychází z metodiky OWASP MASVS s důrazem na OWASP Mobile Top 10. Prověřujene zejména tyto oblasti:

• Data storage on the device
• Cryptographic failures
• Authentication and authorization
• Network communication
• Platform interaction
• Code quality (pokud byly zdrojové kódy poskytnuty)

Provádíme statickou i dynamickou analýzu aplikací. V případě potřeby vyvíjíme vlastní skripty.

Zároveň prověřujeme i úroveň zabezpečení serveru, se kterým mobilní aplikace komunikuje. Přitom vycházíme především z metodiky OWASP WSTG.

Další typy testů

Mobilní aplikace často vzniká jako součást většího systému. Může proto být vhodné zároveň testovat související webové aplikace, desktopové aplikace a API.

Vedle výše popsaných testů poskytujeme našim klientům také mnoho jiných typů penetračních testů – viz Penetrační testování – přehled.

Závěrečná zpráva

Výstupem penetračního testu je závěrečná zpráva, která obsahuje podrobnosti o průběhu testu, popis a klasifikaci nalezených zranitelností a doporučení ke snížení rizika. Zprávu předáváme bezpečně ve formátech MS Word a PDF a výsledky lze prezentovat formou manažerské prezentace nebo technického workshopu.