Penetrační testy mobilních zařízení

​​​​​Penetrační testy mobilních zařízení

Při testech mobilních aplikací hledáme chyby v jejich implementaci i v samotných zařízeních. U aplikací analyzujeme možná rizika a hledáme bezpečná řešení pro užívání mobilních zařízení ve firemním prostředí. U mobilních telefonů provádíme forenzní analýzu přístrojů, které se staly terčem hackerských útoků. S využitím těchto zkušeností pomáháme s tvorbou bezpečných aplikací.

 

Nedůvěřuj, prověřuj!

Jeden z našich předních klientů nás požádal o penetrační testy nově vytvářené mobilní aplikace, která spravuje finanční informace uživatelů. Jelikož byla aplikace vyvíjena dodavatelskou firmou, byly jsme klientem kromě ověření bezpečnosti požádání také o prověření dodržení kritérií, které měla aplikace dle návrhu splňovat.

Při penetračních testech jsme objevili několik velmi závažných zranitelností v oblasti autentizace a autorizace, díky kterým by mohl útočník přistupovat k profilovým a finančním informacím všech uživatelů produktu. Tato velmi kritická data by mohla být hackery využita například k phishingovým kampaním, mířeným na uživatele, či přímo v útocích na instituci. Pokud by tato situace nastala již za reálného provozu, hrozily by společnosti velké finanční ztráty, s nimi spojena ztráta klientské základny a poškození dobré pověsti. Protože však penetrační testy proběhly včas před publikací aplikace do reálného provozu, podařilo se tomuto závažnému incidentu zabránit.

Analýza návrhu a reálného stavu aplikace navíc poukázala na některé odchylky od smluvených požadavků, například v oblasti práce s dokumenty uživatele, jenž podléhá zákonu o GDPR, kterou dodavatel v aplikaci nedostatečně zabezpečil. Klient tak mohl v rámci smlouvy vyjednat urychlené bezplatné opravy, a ještě tak navýšit úroveň zabezpečení své mobilní aplikace.

Naše řešení

Během posledních let se přesunula větší část IT aktivit od počítačů do mobilních přístrojů. Chytrá zařízení hlídají domácnosti, mobilní telefony přistupují k finančním účtům nebo firemní poště. Spolu s neustále rostoucím množstvím informací dostupných online stoupají i nároky na jejich bezpečnost. Penetračními testy těchto zařízení pomáháme odhalit vážné nedostatky v implementaci nejrůznějších aplikací, které by mohly napáchat velké škody, pokud by byly zneužity útočníky. Náš tým etických hackerů hledá bezpečnostní chyby a simuluje útoky na aplikační (klientskou) i síťovou (serverovou) část systému. Tím prověřuje jejich schopnost odolávat reálným kybernetickým útokům z vnějšího prostředí.

Penetrační testy mobilních aplikací

  • Audity aplikací pro operační systémy iOS a Android.
  • Vlastní metodologie položená na základech OWASP Mobile Top10 a Mobile Application Security Verification Standard (MASVS), rozšířená o testy v oblasti business logiky a další scénáře čerpající z naší letité praxe.
  • Využívání manuálních, automatizovaných i semiautomatizovaných technik pro odhalení zranitelných částí aplikací.
  • Penetrační testy mobilního klienta, transportní vrstvy i serverové části aplikace. Prověření možnosti úniku dat, eskalace privilegií, autentizačních problémů a mnohých dalších.
  • Abychom se přizpůsobili potřebám zákazníka, nabízíme dvě možnosti testování:
      • Komplexní (full scan): úplný penetrační test, ve kterém jsou prověřeny všechny části aplikace dle kompletní metodiky.
      • Rychlý (quick scan): redukovaný penetrační test, ve kterém se zaměřujeme pouze na nejdůležitější oblasti aplikace a nejběžnější typy zranitelností. Obvykle poloviční pracnost oproti komplexním testům.


Audity správy mobilních zařízení (MDM)

  • Konfigurace administračního rozhraní dle aktuálních bezpečnostních standardů a praktik,
  • nastavení a konfigurace mobilních zařízení dle firemních politik,
  • penetrační testy mobilních aplikací spravovaných MDM a užívaných ve firemním kontejneru,
  • konzultace a nastavení politik BYOD.


Audity mobilních operačních systémů

  • Analýza kritických oblastí operačních systémů,
  • konzultace možných řešení pro bezpečné užívání mobilních přístrojů ve firemním prostředí.


Forenzní analýza mobilních zařízení

  • Analýza nestandardního chování aplikací či systému,
  • prověření přítomnosti škodlivého malwaru, možných bezpečnostních chyb a stop průniku a exfiltrace dat ze zařízení.


Penetrační testy IoT zařízení

  • Prověření bezpečnosti zařízení připojených do firemní či domácí sítě,
  • analýza fyzického zabezpečení, firmwaru, komunikace (včetně bezdrátové) v rámci interní sítě či cloudu,
  • smart home řešení, kamery, auta, routery, interkomy, smart cities a další.


Analýzy zdrojových kódů

  • Kombinace statické analýzy pomocí automatizovaných nástrojů a manuální revize kódu,
  • jazyky JAVA, C#, JavaScript, Kotlin a jiné.

Naše přednosti

  • Patříme mezi zavedené české security firmy, na trhu úspěšně působíme již déle než 30 let.
  • Máme více než 10 let zkušeností na poli bezpečnosti mobilních aplikací a platforem.
  • Náš tým tvoří specialisté se zkušenostmi ze stovek mobilních projektů.
  • Jsme držiteli certifikací eMAPT, CISSP, OSCP, OSCE, CEH a celé řady dalších.
  • Provozujeme vlastní hackerskou laboratoř na výzkum v oblasti mobility a IoT.
  • Nasloucháme klientům a přizpůsobujeme testy jejich potřebám a časovým možnostem.
  • Sledujeme moderní trendy v oblasti mobilní bezpečnosti a technologií.
  • Při testování klademe důraz na manuální přístup, který vede k odhalení většího množství chyb zejména v business logice aplikací.​Rádi zkonzultujeme vaši konkrétní situaci.

Reference

V této oblasti máme mnohaleté zkušenosti z řady projektů pro významné organizace ve svém oboru, jako jsou:

    • Škoda Auto a.s.
    • Komerční banka a.s.
    • Kooperativa pojišťovna, a.s.
    • SAZKA, a.s.
    • Raiffeisenbank a.s.
    • Generali Česká pojišťovna, a.s.
    • Novartis s.r.o.

Rádi zkonzultujeme vaši konkrétní situaci


Ověření: