Mobiele apps pentesten

Bij mobiele applicaties spelen nog meer risicofactoren een rol dan bij gewone (web)applicaties.

Wat zijn mobiele applicaties?

Mobiele applicaties zijn vaak zo ontwikkeld, dat deze eenvoudig in gebruik zijn, authenticatie pijnloos verloopt en data lokaal wordt opgeslagen zodat geen permanente internetverbinding vereist is. Hierdoor worden vaak gevoelige gegevens zoals inloggegevens en persoonlijke data op het toestel opgeslagen. Mobiele apparaten zijn, meer dan computers, gevoelig voor diefstal. De combinatie van deze factoren zorgt voor een ander risico-beeld dan traditionele webapplicaties.

Hoe testen we?

In deze fase onderzoekt Secura welke kwetsbaarheden geïdentificeerd kunnen worden binnen de applicatie, eerst zonder in te loggen, daarna met geautoriseerde gebruikersrechten. Hiervoor worden veel handmatige tests uitgevoerd, maar ook diverse tools gebruikt, waaronder ook tools die door Secura zelf zijn ontwikkeld. Secura controleert alle resultaten uit de tools (indien van toepassing) met de hand om ‘false positives’ te verwijderen. Secura neemt u veel werk uit handen door deze controle nauwgezet uit te voeren.

Wat kunnen we vinden?

Met een kwetsbaarhedenonderzoek identificeren we bijvoorbeeld de volgende risico's:

• Onveilig gebruik van beveiligingsmaatregelen die door het besturingssysteem worden aangeboden, zoals bijvoorbeeld biometrische authenticatie.
• Onversleutelde opslag van gevoelige gegevens op het toestel.
• Administratie-/beheerfunctionaliteit die niet toegankelijk zouden moeten zijn voor normale gebruikers.
• Onvoldoende bescherming tegen reverse-engineering.
• Client-side implementatie van beveiligingsmaatregelen.
• Onveilige configuratie van standaardsoftware, zoals web-, VPN-, database- en applicatieservers.
• Informatielekkage (bijvoorbeeld via “service banners”).
• Kwetsbare implementatie van cryptografische functies zoals het opzetten en het gebruiken van de TLS-verbinding en het versleutelen van lokale bestanden.

OWASP Mobile Top 10

De applicatie(s) zullen wij grondig bestuderen en testen op allerlei veel voorkomende ontwerp-, configuratie- en programmeerfouten, met uiteraard maximale aandacht voor beveiligingsgerelateerde fouten uit de OWASP Mobile Top 10 (versie 2016).

Vertaald naar concrete beveiligingsproblemen, levert dit onder meer de volgende tests op:

• Het testen van het registratieproces en inlogproces op het overnemen van andermans account.
• Testen of het sessiemechanisme afdoende veilig is ingericht.
• Nagaan of gebruikers onderling ongeautoriseerde toegang tot elkaars gegevens hebben (horizontale autorisatiecontroles).
• Nagaan of gebruikers functionaliteit en gegevens van gebruikers met verhoogde rechten kunnen bevragen. (Verticale autorisatiecontroles).
• Testen of er gevoelige data op het toestel is opgeslagen en of deze is versleuteld op een veilige manier.
• Het testen van de lokale authenticatiemechanismen zoals Pincodes of biometrische authenticatie en of deze omzeilt kan worden.
• Testen in hoeverre de mobiele applicatie gevoelig is voor injectie-aanvallen zoals ‘Cross Site Scripting’ en ‘SQL-injectie’.
• Het omzeilen en misbruiken van de business-logica binnen de applicatie.
• Het onderzoeken van de sterkte van de TLS-verbinding.
• Nagaan of cryptografische functies op een veilige wijze zijn geïmplementeerd.

In de praktijk zal deze lijst verder uitgebreid worden met tests aangezien deze mede afhangt van de functionaliteit van de applicatie.