PENETRATIONSTESTS FÜR MOBILE ANWENDUNGEN
Penetrationstests für mobile Anwendungen: sorgen Sie dafür, dass Kundendaten sicher sind
Tests von iOS- und Android-Apps nach OWASP MASVS und MASTG, durchgeführt von OSCP-zertifizierten Pentestern. Statische und dynamische Analyse, lokale Daten, API-Kommunikation und Widerstand gegen Reverse Engineering.
WARUM ES WICHTIG IST
Eine mobile App läuft auf einem Gerät, das Sie nicht kontrollieren
Anders als bei einer Webanwendung liegt mobiler Code in der Hand des Nutzers und damit des Angreifers. Er lässt sich dekompilieren, einsehen und auf einem gerooteten Gerät ausführen. Schutzmaßnahmen, die nur auf Vertrauen in den Client setzen, existieren schlicht nicht.
Ein Fall aus unseren Tests: Eine App speicherte das Session-Token unverschlüsselt im lokalen Speicher und prüfte das Serverzertifikat nicht. Die Übernahme des Geräts oder des Netzwerks reichte, um das Konto zu kapern. Das Backend war sicher, das Problem lag in der App.
WAS WIR PRÜFEN
Vom App-Code bis zur Kommunikation mit dem Server
Wir testen iOS und Android getrennt, weil jede Plattform eigene Sicherheitsfallen hat.
UNSER ANSATZ
Statische und dynamische Analyse auf einem echten Gerät
Wir kombinieren statische Analyse (Dekompilierung, Code- und Konfigurationsprüfung) mit dynamischer Analyse (die App läuft auf einem instrumentierten Gerät). Erst zusammen zeigen sie das volle Bild: was die App tut und was sich mit ihr tun lässt.
Wir arbeiten nach OWASP MASTG, daher ist jeder Test wiederholbar und auf MASVS abgebildet. Wir prüfen die App so, wie ein Angreifer mit vollem Gerätezugriff es täte, denn genau das ist die Realität.
COMPLIANCE
Ein Test, den Regulierung und App-Stores verlangen
Mobile App-Sicherheit ist Teil der Compliance und Voraussetzung für die Veröffentlichung in Stores und in regulierten Branchen.
STANDARDS & ZERTIFIZIERUNGEN
Wir arbeiten nach anerkannten Methodiken, nicht nach Bauchgefühl
Jedes Projekt wird von zertifizierten Pentestern durchgeführt und basiert auf öffentlichen Standards. So ist das Ergebnis wiederholbar, auditierbar und zwischen Anbietern vergleichbar.
Die vollständige Liste der Zertifizierungen und Standards stellen wir auf Anfrage bereit, zusammen mit einem Beispiel-Testumfang.
SO GEHEN WIR VOR
Ein wiederholbarer Prozess nach MASTG
NACHWEISE
Zahlen hinter jedem Versprechen
Jeder Test wird von zertifizierten Pentestern durchgeführt, und wir dokumentieren das Ergebnis mit Reproduktionsschritten, Nachweisen und einem verifizierten Behebungsweg. Nachweis, kein Versprechen.
WISSEN
Penetrationstests für mobile Anwendungen in der Praxis
Warum eine mobile App einen eigenen Test braucht
Eine mobile App läuft auf einem Gerät, das Sie nicht kontrollieren, daher hat ein Angreifer Zeit und vollen Zugriff auf Code, Speicher und Netzwerkverkehr. Wir testen sie nach OWASP MASTG und MASVS und decken sowohl die App selbst als auch ihre Kommunikation mit dem Backend ab.
Anders als bei einer Webanwendung landen ein Teil der Logik und der Daten auf dem Telefon. Deshalb analysieren wir, was die App lokal speichert, wie sie Schlüssel schützt und ob sie sich auf einem gerooteten oder per Jailbreak veränderten Gerät starten lässt.
Statische und dynamische Analyse auf einem echten Gerät
Wir beginnen mit der statischen Analyse des IPA- oder APK-Pakets: Wir dekompilieren den Code und suchen nach eingebetteten Geheimnissen, API-Schlüsseln und schwacher Kryptografie. Ein Scanner zeigt diese Schicht nur teilweise, weil er den App-Kontext nicht versteht.
Anschließend führen wir die App auf einem echten Gerät aus und beobachten sie in Aktion: Wir fangen Verkehr ab, manipulieren Anfragen und umgehen Schutzmechanismen wie Certificate Pinning. Erst die Kombination beider Methoden ergibt ein vollständiges Bild.
Die häufigsten Fehler in iOS- und Android-Apps
Am häufigsten finden wir sensible Daten ohne Verschlüsselung, Sitzungstokens an leicht zugänglichen Orten und eine Autorisierung auf dem Client, die sich umgehen lässt. Jeder dieser Fehler wirkt harmlos, bis ihn jemand ausnutzt.
Wir prüfen auch die API-Kommunikation, denn dort liegt meist das eigentliche Risiko: Die mobile App ist nur einer von mehreren Clients des Backends. Ein Autorisierungsfehler in der API legt Daten offen, egal wie gut die App selbst geschützt ist.
Was Sie im Bericht erhalten und wann Sie testen sollten
Der Bericht beschreibt jede Schwachstelle mit Nachweis, CVSS-Bewertung und Reproduktionsschritten, getrennt für iOS und Android, wenn wir beide Plattformen testen. Wir fügen eine Zusammenfassung fürs Management und nach Risiko geordnete Behebungsprioritäten hinzu.
Eine mobile App sollten Sie vor der Veröffentlichung im Store und nach jeder größeren Änderung von Funktionen oder Berechtigungen testen. Nach den Korrekturen führen wir einen Retest durch und bestätigen, dass die Lücken geschlossen sind.
FAQ
Die häufigsten Fragen
Testen Sie beide Plattformen?
Brauchen Sie den Quellcode?
Testen Sie auch das Backend?
Ist der Retest inklusive?
VERWANDT
Verwandte Beiträge
- Was kostet ein Penetrationstest? Woraus sich der Preis zusammensetzt und worauf Sie achten sollten
- Penetrationstest oder Schwachstellenanalyse: worin sie sich unterscheiden
- Der Umfang eines Penetrationstests: die eine Seite, die entscheidet, ob der Test sein Geld wert war
- Umfang eines Penetrationstests
- Warum CVSS-Werte oft die tatsächliche Bedrohung verfehlen
REFERENZEN
Referenzen in diesem Bereich
REFERENZEN
“Das Projekt wurde professionell und termingerecht umgesetzt, mit gutem Verständnis für Technik und Geschäft. Ihre Cybersicherheits-Expertise und der partnerschaftliche Ansatz haben uns beeindruckt.”
















