Elementrica
03Fallstudien04Referenzen05Unternehmen06Aktuelles07Kontakt
PLENDE

PENETRATIONSTESTS FÜR MOBILE ANWENDUNGEN

Penetrationstests für mobile Anwendungen: sorgen Sie dafür, dass Kundendaten sicher sind

Tests von iOS- und Android-Apps nach OWASP MASVS und MASTG, durchgeführt von OSCP-zertifizierten Pentestern. Statische und dynamische Analyse, lokale Daten, API-Kommunikation und Widerstand gegen Reverse Engineering.

Tests nach OWASP MASVS und MASTGiOS und Android, statische und dynamische AnalyseLokale Daten, API und NetzwerkkommunikationBericht mit Nachweisen und Retest nach Behebung

WARUM ES WICHTIG IST

Eine mobile App läuft auf einem Gerät, das Sie nicht kontrollieren

Anders als bei einer Webanwendung liegt mobiler Code in der Hand des Nutzers und damit des Angreifers. Er lässt sich dekompilieren, einsehen und auf einem gerooteten Gerät ausführen. Schutzmaßnahmen, die nur auf Vertrauen in den Client setzen, existieren schlicht nicht.

Ein Fall aus unseren Tests: Eine App speicherte das Session-Token unverschlüsselt im lokalen Speicher und prüfte das Serverzertifikat nicht. Die Übernahme des Geräts oder des Netzwerks reichte, um das Konto zu kapern. Das Backend war sicher, das Problem lag in der App.

WAS WIR PRÜFEN

Vom App-Code bis zur Kommunikation mit dem Server

01
Datenspeicherung
Sensible Daten und Tokens in lokalem Speicher, Keychain, Datenbanken und Geräteprotokollen.
02
Netzwerkkommunikation
Transportverschlüsselung, Zertifikatsprüfung und Widerstand gegen Traffic-Interception.
03
Authentifizierung
Login-Logik, Sessions, Biometrie und MFA-Handhabung auf App-Seite.
04
Reverse Engineering
Dekompilierung, Lesbarkeit des Codes, in der App eingebettete Schlüssel und Geheimnisse.
05
Plattform und IPC
Berechtigungsmissbrauch, unsichere Komponenten, Deep Links und App-übergreifende Kommunikation.
06
API-Schicht
Wir testen auch das Backend, mit dem die App spricht. Dort liegt oft das reale Risiko.

Wir testen iOS und Android getrennt, weil jede Plattform eigene Sicherheitsfallen hat.

UNSER ANSATZ

Statische und dynamische Analyse auf einem echten Gerät

Wir kombinieren statische Analyse (Dekompilierung, Code- und Konfigurationsprüfung) mit dynamischer Analyse (die App läuft auf einem instrumentierten Gerät). Erst zusammen zeigen sie das volle Bild: was die App tut und was sich mit ihr tun lässt.

Wir arbeiten nach OWASP MASTG, daher ist jeder Test wiederholbar und auf MASVS abgebildet. Wir prüfen die App so, wie ein Angreifer mit vollem Gerätezugriff es täte, denn genau das ist die Realität.

COMPLIANCE

Ein Test, den Regulierung und App-Stores verlangen

Mobile App-Sicherheit ist Teil der Compliance und Voraussetzung für die Veröffentlichung in Stores und in regulierten Branchen.

DORA / NIS2
App-Tests als Teil des ICT-Risikomanagements.
ISO 27001
Nachweis, dass Maßnahmen wirken (A.8), für Apps, die Daten verarbeiten.
OWASP MASVS
Der anerkannte Verifizierungsstandard für die Sicherheit mobiler Apps.

STANDARDS & ZERTIFIZIERUNGEN

Wir arbeiten nach anerkannten Methodiken, nicht nach Bauchgefühl

Jedes Projekt wird von zertifizierten Pentestern durchgeführt und basiert auf öffentlichen Standards. So ist das Ergebnis wiederholbar, auditierbar und zwischen Anbietern vergleichbar.

Zertifizierungen des Teams
OSCPOSCPOffSec
OSEPOSEPOffSec
OSWEOSWEOffSec
OSEDOSEDOffSec
OSWAOSWAOffSec
OSWPOSWPOffSec
BSCPBSCPPortSwigger
CPTSCPTSHack The Box
CBBHCBBHHack The Box
CWEECWEEHack The Box
CRTOCRTOZero-Point Security
CREST CRTCREST CRTCREST
CREST CPSACREST CPSACREST
ISO 27001 LAISO 27001 LAISO/IEC
Azure Security EngineerAzure Security EngineerMicrosoft
Security Operations AnalystSecurity Operations AnalystMicrosoft
Security AdministratorSecurity AdministratorMicrosoft
OSCPOSCPOffSec
OSEPOSEPOffSec
OSWEOSWEOffSec
OSEDOSEDOffSec
OSWAOSWAOffSec
OSWPOSWPOffSec
BSCPBSCPPortSwigger
CPTSCPTSHack The Box
CBBHCBBHHack The Box
CWEECWEEHack The Box
CRTOCRTOZero-Point Security
CREST CRTCREST CRTCREST
CREST CPSACREST CPSACREST
ISO 27001 LAISO 27001 LAISO/IEC
Azure Security EngineerAzure Security EngineerMicrosoft
Security Operations AnalystSecurity Operations AnalystMicrosoft
Security AdministratorSecurity AdministratorMicrosoft
Methodiken
OWASP MASTGPTESNIST SP 800-115
Verifizierungsstandards
OWASP MASVSOWASP ASVS 5.0.0
Top-10-Listen
OWASP Mobile Top 10OWASP API Security Top 10

Die vollständige Liste der Zertifizierungen und Standards stellen wir auf Anfrage bereit, zusammen mit einem Beispiel-Testumfang.

SO GEHEN WIR VOR

Ein wiederholbarer Prozess nach MASTG

01
Scoping
Wir vereinbaren Plattformen, Versionen und Testkonten, bevor wir starten.
02
Statische Analyse
Wir dekompilieren die App und prüfen Code, Konfiguration und Geheimnisse.
03
Dynamische Analyse
Wir führen die App auf einem instrumentierten Gerät aus und beobachten ihr Verhalten.
04
API-Tests
Wir prüfen das Backend, mit dem die App kommuniziert.
05
Bericht und Retest
Wir liefern einen priorisierten Bericht und bestätigen nach der Behebung, dass die Lücken geschlossen sind.

NACHWEISE

Zahlen hinter jedem Versprechen

Jeder Test wird von zertifizierten Pentestern durchgeführt, und wir dokumentieren das Ergebnis mit Reproduktionsschritten, Nachweisen und einem verifizierten Behebungsweg. Nachweis, kein Versprechen.

500+
durchgeführte Sicherheitstests und Audits
5.0
Durchschnittsbewertung aus 10 verifizierten Clutch-Bewertungen
20+
offensive Zertifizierungen im Team
01
Zertifiziertes Team
20+ offensive Zertifizierungen im Team (OSCP, OSEP, OSWE, CREST). Tests führen unsere Leute durch, keine anonymen Subunternehmer.
02
Manuelle Tests
Wir arbeiten von Hand nach PTES und OWASP und führen scheinbar kleine Fehler zu einem realen, belegten Angriffspfad zusammen.
03
Nachweis statt Versprechen
Jeder Fund mit Reproduktionsschritten und einem funktionierenden Nachweis. Ein Bericht, der vor dem Auditor standhält.
04
Retest inklusive
Nach Umsetzung der Korrekturen bestätigen wir schriftlich, dass die Lücken geschlossen sind. Wir verschwinden nicht nach dem PDF.

WISSEN

Penetrationstests für mobile Anwendungen in der Praxis

Warum eine mobile App einen eigenen Test braucht

Eine mobile App läuft auf einem Gerät, das Sie nicht kontrollieren, daher hat ein Angreifer Zeit und vollen Zugriff auf Code, Speicher und Netzwerkverkehr. Wir testen sie nach OWASP MASTG und MASVS und decken sowohl die App selbst als auch ihre Kommunikation mit dem Backend ab.

Anders als bei einer Webanwendung landen ein Teil der Logik und der Daten auf dem Telefon. Deshalb analysieren wir, was die App lokal speichert, wie sie Schlüssel schützt und ob sie sich auf einem gerooteten oder per Jailbreak veränderten Gerät starten lässt.

Statische und dynamische Analyse auf einem echten Gerät

Wir beginnen mit der statischen Analyse des IPA- oder APK-Pakets: Wir dekompilieren den Code und suchen nach eingebetteten Geheimnissen, API-Schlüsseln und schwacher Kryptografie. Ein Scanner zeigt diese Schicht nur teilweise, weil er den App-Kontext nicht versteht.

Anschließend führen wir die App auf einem echten Gerät aus und beobachten sie in Aktion: Wir fangen Verkehr ab, manipulieren Anfragen und umgehen Schutzmechanismen wie Certificate Pinning. Erst die Kombination beider Methoden ergibt ein vollständiges Bild.

Die häufigsten Fehler in iOS- und Android-Apps

Am häufigsten finden wir sensible Daten ohne Verschlüsselung, Sitzungstokens an leicht zugänglichen Orten und eine Autorisierung auf dem Client, die sich umgehen lässt. Jeder dieser Fehler wirkt harmlos, bis ihn jemand ausnutzt.

Wir prüfen auch die API-Kommunikation, denn dort liegt meist das eigentliche Risiko: Die mobile App ist nur einer von mehreren Clients des Backends. Ein Autorisierungsfehler in der API legt Daten offen, egal wie gut die App selbst geschützt ist.

Was Sie im Bericht erhalten und wann Sie testen sollten

Der Bericht beschreibt jede Schwachstelle mit Nachweis, CVSS-Bewertung und Reproduktionsschritten, getrennt für iOS und Android, wenn wir beide Plattformen testen. Wir fügen eine Zusammenfassung fürs Management und nach Risiko geordnete Behebungsprioritäten hinzu.

Eine mobile App sollten Sie vor der Veröffentlichung im Store und nach jeder größeren Änderung von Funktionen oder Berechtigungen testen. Nach den Korrekturen führen wir einen Retest durch und bestätigen, dass die Lücken geschlossen sind.

FAQ

Die häufigsten Fragen

Testen Sie beide Plattformen?

Ja. Wir testen iOS und Android getrennt, da sie sich in Sicherheitsmechanismen, Datenspeicherung und Berechtigungsmodell unterscheiden.

Brauchen Sie den Quellcode?

Er ist nicht erforderlich, wir arbeiten auch nur mit der App. Zugriff auf den Code erlaubt breitere und schnellere Tests im Grey-Box-Modus.

Testen Sie auch das Backend?

Ja. Die API, mit der die App spricht, ist oft der Ort des realen Risikos, daher nehmen wir sie in den Umfang auf.

Ist der Retest inklusive?

Ja. Nach der Behebung testen wir die aufgeführten Fehler erneut und bestätigen, dass sie geschlossen sind.

VERWANDT

Verwandte Beiträge

REFERENZEN

Referenzen in diesem Bereich

REFERENZEN

“Das Projekt wurde professionell und termingerecht umgesetzt, mit gutem Verständnis für Technik und Geschäft. Ihre Cybersicherheits-Expertise und der partnerschaftliche Ansatz haben uns beeindruckt.”

ERSTER SCHRITT

Starten Sie mit einer kostenlosen Beratung

Sagen Sie uns, was Sie testen möchten. Innerhalb von 24 Stunden erhalten Sie einen Vorschlag zum Umfang und zu den nächsten Schritten. Sie sprechen mit einem Berater, der die technische Seite versteht, nicht mit einem Verkäufer.

Kontakt aufnehmen
Unverbindlich · Antwort innerhalb von 24 Stunden · Ihre Daten bleiben vertraulich
Methodik
PTES · OWASP
Team
20+ Zertifizierungen
Bewertung
5.0 auf Clutch
Das erhalten Sie
Ein auf Ihr Risiko zugeschnittener Umfangsvorschlag
Ein Bericht mit Nachweisen und Reproduktionsschritten
Behebungsprioritäten nach realer Auswirkung
Ein Retest nach Umsetzung der Korrekturen
Asia, ElementricaKacper, ElementricaGrzesiek, Elementrica
Jemand aus unserem Team führt das Gespräch, und wir melden uns innerhalb von 24 Stunden. Keine Bots, kein Callcenter.