Bezpieczeństwo aplikacji mobilnych
Testy penetracyjne aplikacji mobilnych
Testy penetracyjne aplikacji mobilnej obejmują symulację ataku hakerskiego na aplikację oraz jej infrastrukturę. Testujemy aplikację mobilne na systemy takie jak Android, iOS czy Smart TV. Testy najczęściej wykonywane są w jednym z trzech wariantów:
- Black Box – tester otrzymuje wyłącznie aplikacje na wybraną platformę lub pobiera ją samodzielnie ze sklepu
- Grey Box – przyznane są wybrane poziomy dostępu do aplikacji (np. konto partnera i administratora w aplikacji B2B), testujący poznaję podstawowe informację na temat architektury aplikacji.
Trzecim wariantem jest White Box. Przy tym podejściu tester przeprowadza konsultacje z developerem, poznaje architekturę, posiada pełny dostęp do kodu źródłowego i dokumentacji. Ten wariant testu jest najbardziej szczegołówy i dodatkowo jest uzupełniony o analizę statyczną kodu. Prace zabiorą niewątpliwie najwięcej czasu jednakże wartością dodaną jest fakt, że pomoże to wdrożyć metodykę Secure Software Development Lifecycle w procesie tworzenie aplikacji. Pełne wprowadzenie testera w proces staję się inwestycją, ponieważ naprawa błędów w trakcie wytwarzania kodu jest znacznie tańsza niż w sytuacji gdy aplikacja znajduję się na systemach produkcyjnych.
Testy aplikacji mobilnej pozwalają na zbadanie, jaki jest aktualny stan bezpieczeństwa aplikacji oraz jej infrastruktury. Przebieg wykonanej pracy jest zgodny z metodyką OWASP Mobile Application Security Verification Standard. Wykorzystujemy szereg narzędzi automatycznych ale największą uwagę skupiamy na manualnej eksploitacji wykrytych podatnościach.
Zakres prac uwzględnia analizę bezpieczeństwa mechanizmów dedykowanych aplikacji mobilnych:
- Komunikacja bluetooth i NFC
- Logowanie przy pomocy biometerii
- Wrażliwe dane w kodzie aplikacji mobilnej
- Wykrywanie „jailbreak” i zabezpieczenie szyfrowanej komunikacji przez „certificate pinning”
Wynikiem testu jest raport wraz z rekomendacjami dotyczącymi poprawnego wyprowadzenia luk bezpieczeństwa. Raport podzielony jest na trzy sekcje. Pierwsza sekcja jest podusmowaniem wykonanych prac dla zarządu lub kadry kierownicznej. Kolejna sekcja dokładnie opisuje zakres i przebieg prac wraz z lisą wykorzystanych narzędzi. Ostatnia sekcja to lista wykrytych podatności zawięracaja dokładny opis, zebrane w trakcie testu dowody oraz rekomendacje od testera. Podatności w raporcie są posortowane wedle ryzyka która stwarzają dla aplikacji i przechowywanej w niej danych. Przy określenie ryzyka posługujemy się motodyką Common Vulnerability Scoring System (CVSS). Wnioski zawarte w raporcie wskazują bazę do dalszych usprawnień aplikacji.
Kontakt
Chcesz dowiedzieć się wiecej lub zapytać o bezpłatną wycenę? Zapraszamy do kontaktu!
