Een mobiele applicatie pentest is een onderdeel van functionele beveiligingstesten binnen een SDLC (Software Development Life Cycle). Het doel van een mobiele applicatie pentest is om verschillende testcases uit te voeren op de API van een systeem. Een API wordt door een mobiele applicatie gebruikt om informatie uit andere applicaties of systemen te halen. Vaak wordt een mobiele applicatie pentest samen met een API pentest uitgevoerd, omdat mobiele applicaties deze interfaces vaak gebruiken om informatie op te halen of te ontvangen.
Scopevoorbeelden
Tijdens een mobiele applicatie pentest kan de mobiele applicatie (voor zowel iOS als Android) getest worden vanuit verschillende perspectieven: Black Box, Grey Box en White Box. Vaak wordt een mobiele applicatie pentest samen met een API pentest uitgevoerd, omdat mobiele applicaties deze interfaces vaak gebruiken voor het ophalen of ontvangen van informatie. Voorbeelden van deze informatie zijn gebruikerssessies, tekst, video-en fotomateriaal en andere multimedia.
Wilt u inzicht krijgen in de beveiliging van de beveiliging van uw mobiele applicatie? Neem dan contact met ons op.
Welke aanvalscenario´s zijn mogelijk voor mobiele applicatie pentesten?
Het meest voorkomende aanvalsscenario voor een mobiele applicatie pentest is een combinatie van een Black en Grey Box. Hieronder wordt voor beide aanvalscenario’s een illustratief voorbeeld gegeven. Tijdens een intake zullen de wensen in kaart worden gebracht om zo een geschikt scenario te kiezen.
Black Box van de mobiele applicatie
Met minimale informatie zal een beeld gevormd worden van kwetsbaarheden in de mobiele applicatie. Vaak is er ook integratie met een API. Door middel van open bronnenonderzoek (OSINT) zal zoveel mogelijk informatie verzameld worden, om op die manier mogelijke kwetsbaarheden te ontdekken.
Grey Box van de mobiele applicatie
Het testen van de mobiele applicatie vanuit een geautoriseerd perspectief is minstens zo belangrijk als vanuit een niet geautoriseerd omgeving. Met dit scenario wordt nagebootst wat een kwaadwillende hacker zou kunnen doen wanneer deze toegang verkrijgt tot een telefoon waarop de mobiele applicatie geïnstalleerd staat. Vragen die hiermee beantwoord kunnen worden zijn bijvoorbeeld: welke kwetsbaarheden zijn aanwezig en is het mogelijk om meer informatie op te vragen dan bedoeld of gevoelige informatie uit de app (zoals authenticatie-tokens en persoonsgegevens) te stelen?
White Box van de mobiele applicatie
Het testen van de mobiele applicatie wordt uitgevoerd vanuit een perspectief waarbij ook de broncode door de opdrachtgever aangeleverd is. Deze methode helpt om een mobiele applicatie nog efficiënter in kaar te kunnen brengen.
Standaarden
NFIR gebruikt de OWASP Mobile Application Security Testing Guide (MASTG) voor het testen van mobiele applicaties. Deze standaard geeft u de garantie dat de pentest volgens de juiste maatstaven en compleet wordt uitgevoerd.
Wij vinden het belangrijk om zo transparant mogelijk te zijn over de uitvoering van de pentest. Om die reden bieden wij bij diverse pentest standaarden een checklist die wordt toegevoegd aan de rapportage. Hierdoor ziet u welke controles zijn uitgevoerd, welke niet uitgevoerd konden worden en welke eventueel niet van toepassing waren.
Voorbeeldrapportage Mobiele Applicatie Pentesten
Pentesten
Welke systemen kan u door de experts van NFIR laten testen?
Onze ethisch hackers controleren onder andere de technische weerbaarheid van (web) applicaties, websites, IT en OT-infrastructuren, API- koppelingen en mobiele apps. Heeft u een andere omgeving die u graag wilt laten controleren dan gaan wij graag met u in gesprek.
