Penetrační testy mobilních aplikací

Dnes již neexistuje téměř žádná aktivita z oblasti IT, kterou bychom nebyli schopni provést z pohodlí mobilního telefonu. S neustále rostoucím množstvím online uživatelů a dat rostou také nároky na jejich bezpečnost. Mobilními penetračními testy pomáháme odhalit vážné nedostatky v implementaci aplikací, konfiguraci systémů či firemních politik, které by mohly napáchat velké škody, pokud by byly zneužity útočníky. Náš tým etických hackerů hledá bezpečnostní chyby a simuluje útoky na aplikační (klientskou) i serverovou část systémů a prověřuje jejich schopnost odolávat reálným kybernetickým útokům z vnějšího prostředí. 

Hledáme chyby v implementaci a pomáháme tvořit bezpečné aplikace. Klientům nabízíme dva typy testů: komplexní vs. rychlý. 

• Auditujeme aplikace pro operační systémy iOS a Android. 

• Používáme vlastní metodologie položené na základech OWASP Mobile Top10 a Mobile Application Security Verification Standard (MASVS), rozšířené o testy v oblasti business logiky a další scénáře čerpající z naší letité praxe. 

• Používáme manuálních, automatizovaných i semi-automatizovaných technik pro odhalení zranitelných částí aplikací. 

• Analyzujeme jak část mobilního klienta, tak transportní vrstvu a serverové služby aplikace. Hledáme potenciální možnosti úniku dat, eskalace privilegií, autentizačních problémů a mnohých dalších kritických oblastí. 

• Prověřujeme rovněž zdrojový kód aplikace, kde kombinací statické analýzy a automatizovaných nástrojů provádíme revize kódu s cílem odhalit nedostatky v oblasti kvality či zabezpečení kódu a samotné aplikace.  

• Abychom se přizpůsobili potřebám zákazníka, nabízíme dvě možnosti testování: 

  • Komplexní (full scan): úplný penetrační test, ve kterém jsou prověřeny všechny části aplikace dle kompletní metodiky.
  • Rychlý (quick scan): redukovaný penetrační test, ve kterém se zaměřujeme pouze na nejdůležitější oblasti aplikace a nejběžnější typy zranitelností. Obvykle s poloviční pracností oproti komplexním testům. 

Pomáháme společnostem nastavit účinné kontrolní mechanismy pro bezpečné užívání mobilních zařízení ve firemním prostředí. 

• Ověřujeme konfiguraci administračního rozhraní dle aktuálních bezpečnostních standardů a praktik. 

• Kontrolujeme nastavení a konfigurace mobilních zařízení dle firemních politik. 

• Provádíme penetrační testy mobilních aplikací spravovaných MDM a užívaných ve firemním kontejneru. 

• Konzultujeme nastavení politik BYOD. 

Analyzujeme a konzultujeme možná rizika spojená s použitím konkrétních mobilních operačních systémů a pomáháme najít bezpečná řešení pro užívání mobilních zařízení ve firemní prostředí. Analyzujeme kritické oblastí operačních systémů. Konzultujeme možná řešení pro bezpečné užívání mobilních přístrojů ve firemním prostředí. 

Okrajově se naše týmy specializují také na následující služby z oblasti mobility: 

Audity Mobilních telefonů, při kterých provádíme forenzní analýzu mobilních přístrojů, jež se pravděpodobně staly terčem hackerských útoků. 

• Analýza nestandardního chování aplikací či systému. 

• Prověření přítomnosti škodlivého malwaru, možných bezpečnostních chyb a stop úniku dat ze zařízení. 

Penetrační testy IoT zařízení, kde prověřujeme bezpečnost chytrých mobilních zařízení a smart home řešení, které se staly nevyhnutelnou součástí korporátních i domácích sítí. 

• Prověření bezpečnosti zařízení připojených do firemní či domácí sítě.  

• Analýza fyzického zabezpečení, firmwaru, komunikace (včetně bezdrátové) v rámci interní sítě či cloudu. 

• Smart home řešení, kamery, auta, routery, interkomy, smart cities a další.