Pages home > Mobile Security (App Security)

Mobile Security (App Security)

Secure Development
softScheck macht Ihre Apps sicher
Es werden weltweit auf allen Plattformen ca. 3 Millionen Apps (mit geschätzten 300 Milliarden Downloads) angeboten – die meisten sind hinsichtlich Security völlig ungeprüft: Zugriffsrechte Unberechtigter, unerwünschte Weitergabe und Fremdnutzung von Nutzerdaten wie Nachrichten, persönliche Daten, Adressbüchern, Standort und Bewegungsprofile etc.

Secure Development
Dazu kommen die Fragen nach der Sicherheit der interagierenden Server sowie die Datenverbindung zwischen dem smarten Endgerät und dem Server. App-Entwickler stehen daher zunehmend unter Druck: Die Sicherheit von Apps ist völlig unzureichend.
Die ISO 27000 Familie und der BSI-Grundschutz schlagen viele Sicherheitsmaßnahmen vor – die in Betracht kommenden Suiten, Tools und Leitfäden sind aber häufig zu allgemein und unvollständig, sodass die Umsetzung dieser Sicherheitsmaßnahmen nur ein Tropfen auf den heißen Stein ist.
Die Konkurrenz in den App Stores ist groß und steigt mit der Anzahl der Apps weiter an. Damit wird das Security Testen unverzichtbar für die Qualität und den Erfolg jeder App.
Was ist also zu tun? Und vor Allem: Was kann wirtschaftlich getan werden?
softScheck bietet speziell auf mobile Apps zugeschnittene Methoden in Form eines Security Testing Process zur Identifizierung bekannter und insbesondere bislang nicht erkannter Sicherheitslücken in Ihrer App an.
Mobile App Fuzz Testing
softScheck setzt kommerzielle, opensource und eigen entwickelte Fuzzer zur Identifizierung bisher nicht bekannter Sicherheitslücken ein. Diese Fuzzer analysieren die Reaktion Ihrer App auf unvorhergesehene – im Programmcode unberücksichtigte – Eingabedaten. Unerwartete (Fehl-)Verhalten ihrer App liefern Hinweise auf ausnutzbare Sicherheitslücken. Zu unseren Fuzz Testing Leistungen zählen:
•    Identifizierung aller erreichbaren Schnittstellen,
•    User Input (UI) Fuzzing,
•    Intent/Broadcast Fuzzing,
•    Monitoring und Auswertung der Monitoring-Ergebnisse
Static Code Analysis für Android und iOS
Bei der Static Code Analysis wird der Quellcode meist automatisiert oder semiautomatisiert formal auf bekannte Fehlermuster untersucht. Zu unseren Static Code Analysis Leistungen zählen:
•    Reverse Engineering der App,
•    Einsatz verschiedener Static Source Code Analysis Techniken, wie z.B. Semantic- , Data Flow- und Tainted Data Analysis,
•    und Identifizierung von u.a. Bad Practices, Privilege Management, Privacy Violations, Race Conditions, Deadlocks, Zeiger- und Speicherverletzungen.
Manual Audit
In einem manuellen Audit werden durch unsere Sicherheitsexperten besonders kritische Komponenten Ihrer App identifiziert und untersucht. U.a. überprüfen wir:
•    auf korrekte Implementation der SSL-Verbindungen,
•    die Prozesse zur Erhebung, Verarbeitung und Übermittlung aller Daten der Anwendung, insbesondere hinsichtlich personenbezogener Daten,
•    auf Rouge Client Attacks,
•    auf Leaking Content Provider,
•    auf Authentication Bypass,
•    auf Network Traffic Analysis,
•    auf Backdoor Detection
•    und erarbeiten Mitigierungsmaßnahmen.
Thread Modeling
Threat Modeling unterstützt die methodische Entwicklung eines vertrauenswürdigen Systementwurfs und einer Architektur in der Designphase der Softwareentwicklung, die Fehlerbehebungskosten sind in dieser Entwicklungsphase noch sehr gering. Gleichermaßen lassen sich auch schon bestehende Systementwürfe und Architekturen überprüfen, mit dem Ziel der Identifizierung, Bewertung und Korrektur von Sicherheitslücken. Zu unseren Threat Modeling Leistungen zählen:
•    Überprüfung der Sicherheitsarchitektur auf Sicherheitslücken
•    Identifizierung sicherheitsrelevanter Kommunikationskanäle und Prozesse
•    Identifizierung der Threats (Bedrohungen), Design bedingter Sicherheitslücken und der zugehörigen Sicherheitsmaßnahmen
Penetration Testing
Ihre App sollte nie isoliert betrachtet werden, sondern immer als ein Teil des Systems, in dem diese betrieben wird. Kommuniziert Ihre App mit Servern, so müssen auch diese auf Sicherheitslücken hin untersucht werden. softScheck bietet Penetration Tests zur Identifizierung bekannter Sicherheitslücken an und setzt dazu kommerzielle und frei verfügbare Tools – je nach Bedarf und Wirksamkeit – ein.

Last updated 457 days ago by softscheck1