Penetrační testy mobilních aplikací

Mobilní aplikace rozšiřují možnosti klienta. Ten s jejich pomocí pak může využívat Vaše služby kdykoliv a kdekoliv. Je to z jistého úhlu pohledu i bezpečnější (aplikace je většinou svázána s konkrétním mobilem). V praxi však dvě třetiny mobilních aplikací, které kdy společnost DCIT testovala, obsahovaly závažné chyby neslučitelné s bezpečným provozem aplikace. Jak jsou na tom Vaše mobilní aplikace? Jsou opravdu bezpečné? Nechte si je otestovat!

Testy bezpečnosti mobilních aplikací provádíme pro platformy iOS a Android.

Účel

Cílem penetračního testování mobilní aplikace je ověření bezpečnosti mobilní aplikace pomocí simulace reálného útoku zaměřeného na:

  1. Samotnou aplikaci a implementaci jejích bezpečnostních mechanismů v telefonu (využívání biometrických prvků telefonu (otisky prstů, rozpoznání obličeje), ukládání credentials v telefonu).

  2. Operační systém telefonu (platformové slabiny iOS/Android).

  3. Bezpečnost přenosu dat (možnost odposlechu či přesměrování komunikace).

  4. Serverový backend aplikace (kontrola vstupů aplikace, zpracování zmanipulovaných vstupů).

Metodika testování

Pro penetrační testování mobilních aplikací využíváme metodiky publikované OWASP (Open Web Application Security Project) , zejména:

  • OWASP MSTG – Mobile Security Testing Guide (metodika, kterou často používáme).

  • OWASP Top 10 Mobile Risks – mapující největší rizika pro mobilní aplikace včetně nezabezpečeného ukládání dat v telefonu a nezabezpečené autorizace (naše testy potvrdí jeji (ne)existenci ve Vašich webových aplikacích.

Fáze testování

Typický penetrační test mobilní aplikace probíhá v následujících krocích:

  • Statická analýza zdrojového kódu (je-li k dispozici)
  • Ověření bezpečné a důvěryhodné distribuce mobilní aplikace
  • Identifikace a zabezpečení citlivých dat v telefonu
  • Kontrola kvality a bezpečného úložiště pro hesla, credentilals a další citlivé informace v telefonu
  • Kontrola implementace autentizace, autorizace a session-managementu v testované aplikaci
  • Kontrola oprávnění testované mobilní aplikace
  • Detailní kontrola interpretačních chyb (kontrola všech aplikačních vstupů, hloubkové fuzzy testování)
  • Kontrola možnosti neautorizovaného přístupu aplikace k citlivým datům (digitální peněženka, SMS, hovory, fotky)
  • Kontrola zabezpečení integrace se službami a aplikacemi třetích stran
  • Kontrola ochrany dat při přenosu (implementace šifrování)
  • Kontrola zabezpečení koncového „backend“ API rozhraní (webové služby)

Reporting

Všechny závěry z testu spolu s navrhovanými doporučeními jsou uvedeny v přehledné závěrečné zprávě.

Další typy testů

Vedle výše popsaných testů poskytujeme našim klientům také mnoho jiných typů penetračních testů – viz Penetrační testování – přehled.

Máte otázky?

Pokud Vás zajímá více detailů, prosím kontaktujte nás.

Dotaz e-mailem