Penetrační testy mobilních aplikací

Mobilní aplikace rozšiřují možnosti klienta. Ten s jejich pomocí pak může využívat Vaše služby kdykoliv a kdekoliv. Je to z jistého úhlu pohledu i bezpečnější (aplikace je většinou svázána s konkrétním mobilem). V praxi však dvě třetiny mobilních aplikací, které kdy společnost DCIT testovala, obsahovaly závažné chyby neslučitelné s bezpečným provozem aplikace. Jak jsou na tom Vaše mobilní aplikace? Jsou opravdu bezpečné? Nechte si je otestovat!

Testy bezpečnosti mobilních aplikací provádíme pro platformy iOS a Android.

Účel

Cílem penetračního testování mobilní aplikace je ověření bezpečnosti mobilní aplikace pomocí simulace reálného útoku zaměřeného na:

  1. Samotnou aplikaci a implementaci jejích bezpečnostních mechanismů v telefonu – využívání biometrických prvků telefonu (otisky prstů, rozpoznání obličeje), ukládání credentials v telefonu aj.

  2. Operační systém telefonu (platformové slabiny iOS/Android).

  3. Bezpečnost přenosu dat (možnost odposlechu či přesměrování komunikace).

  4. Serverový backend aplikace (kontrola vstupů aplikace, zpracování zmanipulovaných vstupů).

Metodika testování

Pro penetrační testování mobilních aplikací využíváme metodiky publikované OWASP (Open Web Application Security Project), zejména:

  • OWASP MSTG – Mobile Security Testing Guide.

  • OWASP Top 10 Mobile Risks – mapující největší rizika pro mobilní aplikace včetně nezabezpečeného ukládání dat v telefonu a nezabezpečené autorizace; naše testy potvrdí jejich (ne)existenci ve Vašich aplikacích.

Fáze testování

Typický penetrační test mobilní aplikace probíhá v následujících krocích:

  • statická analýza zdrojového kódu (je-li k dispozici);
  • ověření bezpečné a důvěryhodné distribuce mobilní aplikace;
  • identifikace a zabezpečení citlivých dat v telefonu;
  • kontrola bezpečného uložení hesel, credentials a dalších citlivých informací v telefonu;
  • kontrola implementace autentizace, autorizace a session-managementu v testované aplikaci;
  • kontrola oprávnění testované mobilní aplikace;
  • detailní kontrola interpretačních chyb (kontrola všech aplikačních vstupů, hloubkové fuzzy testování);
  • kontrola možnosti neautorizovaného přístupu aplikace k citlivým datům (digitální peněženka, SMS, hovory, fotografie);
  • kontrola zabezpečení integrace se službami a aplikacemi třetích stran;
  • kontrola ochrany dat při přenosu (implementace šifrování);
  • kontrola zabezpečení koncového „backend“ API rozhraní (webové služby).

Reporting

Výstupem penetračního testu je závěrečná zpráva, která obsahuje podrobnosti o průběhu testu, popis a klasifikaci nalezených zranitelností a samozřejmě doporučení ke snížení rizika.

Pro klasifikaci závažnosti zranitelnosti standardně využíváme škálu: Nízká (Low), Střední (Medium), Vysoká (High) a Kritická (Critical). V případě požadavku zákazníka přidáme hodnocení pomocí CVSS skóre (Common Vulnerability Scoring System) nebo použijeme zákazníkem dodané klasifikační schéma.

Zpráva je připravena ve formátu MS Word a PDF a zákazníkovi zaslána bezpečným způsobem.

Penetrační testy mohou být zakončeny prezentací výsledků u zákazníka – manažerská prezentace nebo technický workshop/diskuse nad závěrečnou zprávou.

Další typy testů

Vedle výše popsaných testů poskytujeme našim klientům také mnoho jiných typů penetračních testů – viz Penetrační testování – přehled.

Vzorová zpráva

Ukázka výstupu pro lepší představu o kvalitě naší práce.

Demo zpráva


Máte otázky?

Pokud Vás zajímá více detailů, prosím kontaktujte nás.

Dotaz e-mailem