Securam Consulting Logo
Kontakt

Das große IT-Security-Glossar

Definition:

OWASP Mobile Top 10

Was ist die OWASP Mobile Top 10?

Die OWASP Mobile Top 10 ist eine vom OWASP veröffentlichte Liste, die die zehn kritischsten Sicherheitsrisiken für mobile Anwendungen identifiziert. Sie dient Entwicklern, Sicherheitsverantwortlichen und Auditoren als Referenz für häufig auftretende Schwachstellen in mobilen Plattformen wie Android und iOS.

Die Liste umfasst Bedrohungen wie unsicheren Umgang mit Berechtigungen, unsichere Datenspeicherung oder fehlerhafte Authentifizierung. Die OWASP Mobile Top 10 wird regelmäßig überarbeitet, um neuen Angriffsmethoden Rechnung zu tragen, und bietet konkrete Hinweise zur Absicherung mobiler Apps.

Wichtige Risiken laut OWASP Mobile Top 10

  • M1 – Improper Platform Usage
    Unsachgemäßer Einsatz von APIs, unsichere Nutzung von Berechtigungen, Missachtung von Plattformrichtlinien

  • M2 – Insecure Data Storage
    Speicherung sensibler Daten im Klartext oder an unsicheren Orten (z. B. Shared Preferences, SQLite ohne Verschlüsselung)

  • M3 – Insecure Communication
    Unzureichend geschützte Datenübertragung, z. B. fehlende TLS-Zertifikate oder unvalidierte Zertifikate

  • M4 – Insecure Authentication
    Fehlerhafte oder unvollständige Authentifizierungsmechanismen

  • M5 – Insufficient Cryptography
    Verwendung schwacher oder selbstentwickelter Verschlüsselungsalgorithmen

  • M6 – Insecure Authorization
    Fehlende Prüfung von Zugriffsrechten auf server- oder clientseitiger Ebene

  • M7 – Client Code Quality
    Fehlerhafte Codequalität mit potenziellen Schwachstellen (z. B. Buffer Overflows, Hardcoded Credentials)

  • M8 – Code Tampering
    Manipulation von Code durch Reverse Engineering oder Debugging

  • M9 – Reverse Engineering
    Möglichkeit, durch Decompiling oder Analyse Tools Geschäftslogik oder Geheimnisse zu extrahieren

  • M10 – Extraneous Functionality
    Versehentlich veröffentlichte Debug-Schnittstellen oder Admin-Zugänge

Anwendung in der Praxis

  • Security by Design: OWASP Mobile Top 10 als feste Komponente im Entwicklungsprozess

  • Secure Coding: Anwendung von Code-Obfuskation, sichere API-Verwendung und kryptographische Standards

  • Testing: Einsatz von Tools wie MobSF, QARK oder ZAP zur automatisierten Schwachstellenanalyse

  • MDM-Integration: Definition sicherer Richtlinien für Geräteverwaltung und -nutzung

  • Audits: Verwendung der Top 10 als Checkliste in internen und externen Sicherheitsbewertungen

Verwandte Begriffe

  • Mobile Security

  • Secure Coding

  • Dynamic Application Security Testing (DAST)

  • OWASP

  • Reverse Engineering

  • Certificate Pinning

  • Penetration Test

Beispiel aus der Praxis

Ein App-Entwicklerteam launcht eine neue Android-App für eine Bank. Im Rahmen eines internen Mobile App Penetration Tests wird festgestellt, dass die App sensible Tokens unverschlüsselt im lokalen Speicher ablegt (M2) und keine TLS-Zertifikatsvalidierung durchführt (M3). Nach Anpassung der App-Architektur durch Integration von EncryptedSharedPreferences und Certificate Pinning sowie einer zweiten Audit-Runde wird die App freigegeben.