Securam Consulting Logo
Kontakt

Das große IT-Security-Glossar

Definition:

Mobile App Penetration Test

Was ist ein Mobile App Penetration Test?

Ein Mobile App Penetration Test ist eine gezielte Sicherheitsüberprüfung von mobilen Anwendungen, bei der sowohl die App selbst als auch ihre Interaktionen mit dem Betriebssystem, APIs und Netzwerken analysiert werden. Ziel ist es, potenzielle Schwachstellen zu identifizieren, bevor sie von Angreifern ausgenutzt werden können. Diese Tests kombinieren manuelle und automatisierte Verfahren und berücksichtigen dabei sowohl unprivilegierte (Black-Box) als auch privilegierte (White-Box) Szenarien.

Mobile Pentests sind essenziell für Organisationen, die sensible Daten über mobile Plattformen verarbeiten oder regulatorische Anforderungen erfüllen müssen. Die zunehmende Verbreitung von Mobile Banking, E‑Health und Unternehmens-Apps macht die Absicherung dieser Plattformen zu einem kritischen Bestandteil der IT-Sicherheitsstrategie.

Technischer Aufbau & Varianten

Testarten:

  • Unprivilegierter Test (Black-Box):
    Simulation eines externen Angreifers ohne Zugriff auf den Quellcode oder App-Interna.
    → Fokus auf Netzwerkverkehr, TLS-Schutz, Session-Management, API-Kommunikation.

  • Privilegierter Test (White-Box):
    Mit Zugriff auf den Quellcode, die kompilierten App-Dateien (APK/IPA) und interne Dokumentation.
    → Ermöglicht Codeanalyse, Business-Logik-Fehlerprüfung und Schwachstellen in lokalen Speichermechanismen.

Typische Prüfpunkte:

  • Unsichere Datenhaltung (Shared Preferences, SQLite, Local Storage)

  • Schwache oder fehlende Verschlüsselung (keine Nutzung von Keychain/Keystore)

  • Hardcoded API-Keys, Tokens oder Passwörter

  • Unsicheres Logging (Debug-Ausgaben, Stacktraces)

  • Reverse Engineering-Schutz: Obfuskation, Minifizierung

  • TLS-Misskonfigurationen, kein Certificate Pinning

  • Fehlende Sicherheitsmaßnahmen im Code (z. B. Root/Jailbreak Detection)

Tools & Techniken:

  • Dynamisch: Burp Suite, Frida, Objection

  • Statisch: MobSF (Mobile Security Framework), QARK, JADX

  • Analyseplattformen: Android Studio, Xcode, Genymotion Emulator

Relevanz in der Praxis

Ein umfassender Mobile App Pentest deckt versteckte Schwachstellen auf, die automatisierte Scanner häufig übersehen. Besonders relevant ist dies in folgenden Bereichen:

  • FinTech & Banking-Apps: Schutz sensibler Finanzdaten

  • Healthcare: DSGVO- und HIPAA-Konformität

  • Enterprise Mobility: Absicherung interner Unternehmensanwendungen

  • E-Commerce: Schutz personenbezogener Kundendaten

Die Ergebnisse solcher Tests fließen direkt in das Secure-Software-Development-Lifecycle (SSDLC) ein und dienen als Grundlage für Nachbesserungen und Compliance-Dokumentation.

Standards & regulatorische Anforderungen

  • OWASP Mobile Security Testing Guide (MSTG)

  • OWASP MASVS – Mobile Application Security Verification Standard

  • ISO/IEC 27001 – Informationssicherheitsmaßnahmen

  • GDPR/DSGVO – Schutz personenbezogener Daten

  • PCI DSS – Anforderungen für mobile Zahlungssysteme

Verwandte Begriffe

  • Mobile Security

  • Static Application Security Testing

  • Secure Coding

  • Secure Storage

  • Mobile Device Management

  • Certificate Pinning

  • Reverse Engineering

Beispiel aus der Praxis

Ein Versicherungsunternehmen ließ einen Mobile App Penetration Test durchführen, nachdem interne QA-Tests keine Auffälligkeiten gezeigt hatten. Die Pentester entdeckten hardcodierte Zugangsdaten in der Android-APK sowie eine fehlende TLS-Zertifikatsprüfung. Die Schwachstellen hätten es ermöglicht, über ein MITM-Angriff Authentifizierungsdaten abzugreifen. Nach der Behebung und Einführung von Code-Obfuskation, MDM-Policy-Absicherung und automatisierter Build-Prüfung konnte das Unternehmen seine App erfolgreich im App Store zertifizieren lassen.

zum Glossar