Bij mobiele applicaties spelen nog meer risicofactoren een rol dan bij gewone (web)applicaties.
Wat zijn mobiele applicaties?
Mobiele applicaties zijn vaak zo ontwikkeld, dat deze eenvoudig in gebruik zijn, authenticatie pijnloos verloopt en data lokaal wordt opgeslagen zodat geen permanente internetverbinding vereist is. Hierdoor worden vaak gevoelige gegevens zoals inloggegevens en persoonlijke data op het toestel opgeslagen. Mobiele apparaten zijn, meer dan computers, gevoelig voor diefstal. De combinatie van deze factoren zorgt voor een ander risico-beeld dan traditionele webapplicaties.
Hoe testen we?
In deze fase onderzoekt Secura welke kwetsbaarheden geïdentificeerd kunnen worden binnen de applicatie, eerst zonder in te loggen, daarna met geautoriseerde gebruikersrechten. Hiervoor worden veel handmatige tests uitgevoerd, maar ook diverse tools gebruikt, waaronder ook tools die door Secura zelf zijn ontwikkeld. Secura controleert alle resultaten uit de tools (indien van toepassing) met de hand om ‘false positives’ te verwijderen. Secura neemt u veel werk uit handen door deze controle nauwgezet uit te voeren.
Wat kunnen we vinden?
Met een kwetsbaarhedenonderzoek identificeren we bijvoorbeeld de volgende risico's:
- Onveilig gebruik van beveiligingsmaatregelen die door het besturingssysteem worden aangeboden, zoals bijvoorbeeld biometrische authenticatie.
- Onversleutelde opslag van gevoelige gegevens op het toestel.
- Administratie-/beheerfunctionaliteit die niet toegankelijk zouden moeten zijn voor normale gebruikers.
- Onvoldoende bescherming tegen reverse-engineering.
- Client-side implementatie van beveiligingsmaatregelen.
- Onveilige configuratie van standaardsoftware, zoals web-, VPN-, database- en applicatieservers.
- Informatielekkage (bijvoorbeeld via “service banners”).
- Kwetsbare implementatie van cryptografische functies zoals het opzetten en het gebruiken van de TLS-verbinding en het versleutelen van lokale bestanden.