Mobiele applicatie pentesten

Een mobiele applicatie pentest is een onderdeel van functionele beveiligingstesten binnen een SDLC (Software Development Life Cycle). Het doel van een mobiele applicatie pentest is om verschillende testcases uit te voeren op de API van een systeem. Een API wordt door een mobiele applicatie gebruikt om informatie uit andere applicaties of systemen te halen. Vaak wordt een mobiele applicatie pentest samen met een API pentest uitgevoerd, omdat mobiele applicaties deze interfaces vaak gebruiken om informatie op te halen of te ontvangen.

Scopevoorbeelden

Tijdens een mobiele applicatie pentest kan de mobiele applicatie (voor zowel iOS als Android) getest worden vanuit verschillende perspectieven: Black Box, Grey Box en White Box. Vaak wordt een mobiele applicatie pentest samen met een API pentest uitgevoerd, omdat mobiele applicaties deze interfaces vaak gebruiken voor het ophalen of ontvangen van informatie. Voorbeelden van deze informatie zijn gebruikerssessies, tekst, video-en fotomateriaal en andere multimedia.

Wilt u inzicht krijgen in de beveiliging van de beveiliging van uw mobiele applicatie? Neem dan contact met ons op.

Welke aanvalscenario´s zijn mogelijk voor mobiele applicatie pentesten?

Het meest voorkomende aanvalsscenario voor een mobiele applicatie pentest is een combinatie van een Black en Grey Box. Hieronder wordt voor beide aanvalscenario’s een illustratief voorbeeld gegeven. Tijdens een intake zullen de wensen in kaart worden gebracht om zo een geschikt scenario te kiezen.

Black box pentesten hacker organisatie applicaties beveiliging informatie

Black Box van de mobiele applicatie

Met minimale informatie zal een beeld gevormd worden van kwetsbaarheden in de mobiele applicatie. Vaak is er ook integratie met een API. Door middel van open bronnenonderzoek (OSINT) zal zoveel mogelijk informatie verzameld worden, om op die manier mogelijke kwetsbaarheden te ontdekken.

Grey box pentesten risico hackers geautomatiseerde netwerk penetratietest nederland

Grey Box van de mobiele applicatie

Het testen van de mobiele applicatie vanuit een geautoriseerd perspectief is minstens zo belangrijk als vanuit een niet geautoriseerd omgeving. Met dit scenario wordt nagebootst wat een kwaadwillende hacker zou kunnen doen wanneer deze toegang verkrijgt tot een telefoon waarop de mobiele applicatie geïnstalleerd staat. Vragen die hiermee beantwoord kunnen worden zijn bijvoorbeeld: welke kwetsbaarheden zijn aanwezig en is het mogelijk om meer informatie op te vragen dan bedoeld of gevoelige informatie uit de app (zoals authenticatie-tokens en persoonsgegevens) te stelen?

white box pentesten ethische hardware vulnerability pentester security audit computersystemen

White Box van de mobiele applicatie

Het testen van de mobiele applicatie wordt uitgevoerd vanuit een perspectief waarbij ook de broncode door de opdrachtgever aangeleverd is. Deze methode helpt om een mobiele applicatie nog efficiënter in kaar te kunnen brengen.

Standaarden

NFIR gebruikt de OWASP Mobile Security Testing Guide (MSTG) voor het testen van mobiele applicaties. Deze standaard geeft u de garantie dat de pentest volgens de juiste maatstaven en compleet wordt uitgevoerd. 

Voor de MSTG-checklist kunnen verschillende levels gebruikt worden. De volgende levels worden gespecificeerd:

  • MSTG Level 1: Security best practices applicable to all mobile apps/ Best practices voor alle mobiele applicaties.
  • MSTG Level 2: Defense-in-depth controls for sensitive apps (e.g. financial transactions)/ Diepgaande controles voor mobiele applicaties met gevoelige data, zoals financiële transacties en zorgdossiers.
  • MSTG Resiliency Against Reverse Engineering: Tamper-proofing to counter specific client-side threats/: Optionele client-side checks, zoals Jailbreak Detectie en Debugger Detectie.

Wij vinden het belangrijk om zo transparant mogelijk te zijn over de uitvoering van de pentest. Om die reden bieden wij bij diverse pentest standaarden een checklist die wordt toegevoegd aan de rapportage. Hierdoor ziet u welke controles zijn uitgevoerd, welke niet uitgevoerd konden worden en welke eventueel niet van toepassing waren.

Voorbeeldrapportage Mobiele Applicatie Pentesten

Er is een voorbeeldrapportage (NL/EN) beschikbaar van een interne black box pentest. In deze rapportage is een pentest uitgevoerd op een fictieve omgeving, waarbij kwetsbaarheden inzichtelijk zijn gemaakt.
Pentest

Welke systemen kan u door de experts van NFIR laten testen?

Onze ethisch hackers controleren onder andere de technische weerbaarheid van (web) applicaties, websites, IT en OT-infrastructuren, API- koppelingen en mobiele apps. Heeft u een andere omgeving die u graag wilt laten controleren dan gaan wij graag met u in gesprek.

Scroll naar top