Mobile Application Security Assessment
Mobile Endgeräte, wie Smartphones oder Tablets, haben sich sowohl im privaten als auch im beruflichen Umfeld zu einem selbstverständlichen Werkzeug entwickelt. Dementsprechend vielseitig sind die verfügbaren mobilen Applikationen (kurz Apps genannt). Die Funktionalitäten reichen vom einfachen Informationsabruf, über die Abwicklung von Finanztransaktionen bis hin zum mobilen Zugriff auf firmeninterne ERP-Systeme. Häufig sind die Apps in komplexe IT-Umgebungen eingebunden, welche z.B. aus Applikationsservern und Middlewaresystemen bestehen können. Diese verfügen wiederum regelmäßig über im Internet exponierte Schnittstellen.
Bedingt durch den mobilen Einsatz, neue Zugriffsverfahren über öffentliche Netze sowie dynamische und bisher wenig untersuchte Betriebsumgebungen, ergeben sich beim Einsatz mobiler Anwendungen zahlreiche und teilweise neuartige Bedrohungsszenarien hinsichtlich der Informations- und IT-Sicherheit.
Ziel
Identifikation von Schwachstellen in mobilen Anwendungen und Bewertung des Risikos hinsichtlich spezifischer Bedrohungsszenarien
Fragestellung
Wie sicher ist die mobile Anwendung und was können externe Angreifer bzw. böswillige Benutzer im schlimmsten Falle erreichen?
Scope
Mobile Anwendungen inkl. ihrer Schnittstellen sowie Basis- und Backend-Systeme
Ablauf
Bei einem Mobile Application Security Assessment (MASA) werden neben der mobilen Anwendungen selbst üblicherweise auch die relevanten Backend-Systeme und Schnittstellen mit betrachtet und hinsichtlich vorhandener Schwachstellen analysiert. Dabei nimmt der Prüfer sowohl die Perspektive externer Angreifer als auch privilegierter und unprivilegierter Benutzer ein. Beispiele für Angriffsversuche reichen vom Durchführen unberechtigter Aktionen, über Man-in-the-Middle-Angriffe, bis hin zu Angriffen auf Backend-Systeme über das Ausnutzen von Schwachstellen in exponierten Schnittstellen.
Grundsätzlich erfolgt das Assessment mit dem Ansatz einer möglichst umfassenden Prüfung. Abhängig von der Art der Anwendung bzw. des Systems und der relevanten Bedrohungen ist jedoch auch ein risikobasierter Ansatz möglich (vergleichbar mit einem Penetrationstest ). Dabei wird der Fokus auf besonders sicherheitskritische bzw. gefährdete Bereiche gerichtet, wobei sich der Prüfungsumfang aus dem im Vorfeld vereinbarten Zeitbudget ergibt.
Im Bereich der Mobile Application Security richten wir uns nach den Vorgaben des international anerkannten OWASP Mobile Security Project.
Bestandteile
Das Mobile Application Security Assessment umfasst üblicherweise folgende Punkte:
- Prüfung der Anwendungsebene (Auswirkungen der App auf die Sicherheitsfunktionen des Smartphones, Manipulationsmöglichkeiten der App sowie von Prozess- und Transaktionsabläufen etc.)
- Prüfung der Kommunikationsebene (Mitlesen oder Manipulation von Datenströmen etc.)
- Prüfung der Serverebene (Angreifbarkeit der serverseitigen Applikationen und Schnittstellen etc.)
- Prüfung auf Schwachstellen mit Schwerpunkt OWASP-Mobile-Top-Ten
- Erweiterte Angriffe durch Ausnutzen identifizierter Schwachstellen
- Dokumentation inklusive Risikobewertung und Maßnahmenbeschreibung
Ergebnis
Als Ergebnis des Assessments erhalten Sie einen ausführlichen Abschlussbericht. Abhängig von Art und Umfang des Projekts umfasst der Abschlussbericht folgende Bestandteile:
- Management Summary mit Zusammenfassung der Ergebnisse und des Sicherheitsniveaus
- Beschreibung Projektablauf, Zielsetzung, Umfang und Methodik
- Detaillierte Beschreibung der identifizierten Schwachstellen, um diese nachvollziehen und mögliche Angriffe rekonstruieren zu können (ggf. mit Proof-of-Concept-Implementierungen)
- Detaillierte Beschreibung des iterativen Vorgehens bei der Ausnutzung verketteter Schwachstellen
- Risikobewertung der identifizierten Schwachstellen unter Berücksichtigung des IT-Umfelds bzw. des Anwendungskontextes (Risikoeinstufung: niedrig, mittel, hoch, kritisch)
- Beschreibung von Maßnahmen zur Behebung der Schwachstellen
- Falls erforderlich auch eine Beschreibung von übergeordneten strategie-, konzept- und prozessbezogenen Maßnahmen oder Optimierungsvorschlägen.