Mobiele applicatie pentesten

Een mobiele applicatie pentest is een belangrijk onderdeel van functionele beveiligingstesten. Het doel van deze pentest is om verschillende testcases uit te voeren op de API van een systeem. Om volledigheid te bieden gebruikt Anovum het MIAUW-framework voor pentesten.

Vaak wordt een mobiele applicatie pentest gecombineerd met een API pentest, aangezien mobiele applicaties deze interfaces veelal gebruiken om gegevens op te halen of te verzenden.

Boek nu uw adviesgesprekDownload hand-out over pentesting
Wat kunt u nog meer testen?

Scopevoorbeelden

Tijdens een mobiele applicatie pentest kan de applicatie, zowel voor iOS als Android, worden getest vanuit verschillende invalshoeken: Black Box, Grey Box en White Box. Vaak wordt een mobiele applicatie pentest gecombineerd met een API pentest, omdat mobiele applicaties deze interfaces vaak gebruiken voor het ophalen of verzenden van informatie. Voorbeelden van dergelijke informatie zijn gebruikerssessies, tekst, video- en fotomateriaal, en andere multimedia.

Voorbeelden van apps die vaak getest worden tijdens mobiele applicatie pentests zijn:

  • Bankieren apps
  • E-commerce apps
  • Social media apps
  • Gezondheidszorg apps

Wilt u inzicht krijgen in de beveiliging van uw mobiele applicatie? Neem dan contact op met Anovum.

  • Streaming apps voor video en muziek
  • Mobiele games
  • Bedrijfsapps voor interne communicatie of workflows

Welke aanvalscenario’s zijn mogelijk voor mobiele applicatie pentesten?

Het meest voorkomende aanvalsscenario voor het testen van mobiele applicaties dat Anovum hanteert, is een combinatie van Black Box en Grey Box testing. Vaak wordt dit gecombineerd met API testing, omdat mobiele applicaties vaak afhankelijk zijn van API’s voor het uitwisselen van gegevens.

Hieronder geeft Anovum een illustratief voorbeeld van beide aanvalsscenario’s. Tijdens een intakegesprek worden de specifieke wensen van de klant in kaart gebracht, zodat Anovum het meest geschikte scenario kan selecteren voor het testen van zowel de mobiele applicatie als de bijbehorende API’s.

Black Box op de mobiele app + API

Bij een Black Box-analyse onderzoeken we de mobiele applicatie zonder toegang tot interne documentatie of broncode. Hierbij wordt gekeken naar de communicatie tussen de applicatie en externe systemen, zoals API’s. Met technieken zoals Open Source Intelligence (OSINT) verzamelen we publiek toegankelijke gegevens die kunnen wijzen op kwetsbaarheden in de applicatie of de bijbehorende infrastructuur.

Grey Box op de mobiele app + API

Tijdens een Grey Box-analyse simuleren we een aanval waarbij een kwaadwillende beperkte toegang heeft, zoals via een gecompromitteerd gebruikersaccount of toestel. Dit scenario richt zich op het identificeren van kwetsbaarheden die kunnen leiden tot onbedoelde toegang tot gevoelige gegevens, zoals authenticatietokens of persoonlijke informatie. Ook testen we of ongeautoriseerde acties uitgevoerd kunnen worden die niet bij de rechten van de gebruiker passen.

White Box op de mobiele app + API

Bij een White Box-pentest analyseren we de mobiele applicatie met volledige toegang tot de broncode, configuratiebestanden en documentatie. Deze aanpak stelt ons in staat om kwetsbaarheden te identificeren in de codekwaliteit, de implementatie van beveiligingsmaatregelen, en de gebruikte softwarebibliotheken. Hierdoor kunnen beveiligingsproblemen grondig en gericht worden opgespoord.

Industriestandaarden penetratie testen

Voor mobiele applicatie pentesten maakt Anovum gebruik van de OWASP Mobile Application Security Testing Guide (MASTG). Deze wereldwijde standaard biedt een gestructureerde aanpak om mobiele applicaties op een grondige en methodologische manier te testen, met de focus op zowel kwetsbaarheden in de applicatie als in de interactie met externe systemen.

Voorbeeldrapportage van een mobiele-applicatie pentest

Anovum heeft een voorbeeldrapportage (beschikbaar in zowel Nederlands als Engels) van een black box pentest. In deze rapportage heeft Anovum een pentest uitgevoerd op een fictieve omgeving, waarbij de kwetsbaarheden helder en inzichtelijk zijn gemaakt.
Vraag de voorbeeldrapportage aan

Welke systemen kunt u laten testen door de experts van Anovum?

De onderzoekers van Anovum controleren onder andere de technische weerbaarheid van (web)applicaties, websites, IT- en OT-infrastructuren, API-koppelingen en mobiele apps. Heeft u een andere omgeving die u graag wilt laten testen, dan gaat Anovum graag met u in gesprek om de mogelijkheden te bespreken.

Wat is de OWASP MASTG standaard?

De OWASP Mobile Application Security Testing Guide (MASTG) is een uitgebreide handleiding voor het testen van de beveiliging van mobiele applicaties. Het biedt een gestructureerde aanpak om kwetsbaarheden in mobiele applicaties te identificeren en te analyseren. Anovum gebruikt de OWASP MASTG als standaard voor het uitvoeren van pentests op mobiele applicaties, zodat onze klanten verzekerd zijn van een grondige en gestandaardiseerde beveiligingstest.

Wat is de tijdsduur van een pentest?

De duur van een pentest bij Anovum is sterk afhankelijk van de complexiteit van de te testen omgeving en de gemaakte afspraken met de opdrachtgever over de in te zetten aanvalsscenario’s. Heeft u een specifieke omgeving die u wilt laten testen, dan gaan wij graag met u in gesprek om de mogelijkheden te bespreken.

Wat is de PTES standaard?

De implementatie van de Penetration Testing Execution Standard (PTES) standaard bij Anovum bestaat uit verschillende hoofdelementen die alle aspecten van een penetratietest omvatten.

Dit begint met de initiële communicatie en de motivatie achter het uitvoeren van de pentest. Vervolgens worden de fasen van informatieverzameling en

dreigingsmodellering doorlopen, waarin de testers achter de schermen werken om een dieper inzicht in de organisatie te krijgen. Daarna worden kwetsbaarheden onderzocht, gevolgd door exploitatie en post-exploitatie, waarbij technische expertise wordt gecombineerd met zakelijk inzicht. Tot slot wordt het gehele proces vastgelegd in een rapportage die op een klantgerichte manier de meest waardevolle inzichten biedt.