Mobile App Penetration Test

Ein Mobile App Penetration Test ist eine intensive, unprivilegierte und privilegierte manuelle Suche nach Sicherheitslücken in Betriebssystem, Basisdiensten und Applikation auf dem Mobilgerät. Mobile-Penetration-Tests analysieren sowohl native (iOS, Android) als auch hybride Apps. Unprivilegierte Tests (Black-Box) beginnen oft mit Analyse des Netzwerkverkehrs (Proxy wie Burp Suite), um unverschlüsselte API-Aufrufe, unsichere TLS-Konfigurationen oder fehlende Certificate Pinning zu identifizieren. Privilegierte Tests (White-Box) erlauben das Reverse Engineering von APK-/IPA-Dateien, Überprüfung von Hardcoded-Credentials, Business-Logik-Fehlern und kryptographischen Schwächen (z. B. schwache Verschlüsselung von Local Storage). Dynamische Analyse erfolgt auf realen Geräten oder Emulatoren, wobei manuelle Code-Reviews und automatisierte Tools (MobSF, QARK) kombiniert werden. Abschließend umfassen Reports detaillierte Exploits, Risikoabschätzungen und Empfehlungen wie Implementierung von Secure Storage (Keystore/Keychain), Minifizierung und Obfuskation des Codes sowie Einsatz von Mobile-Device-Management (MDM)-Richtlinien.