Penetračné testy mobilných zariadení

​​Penetračné testy mobilných zariadení

Pri testoch mobilných aplikácií hľadáme chyby v ich implementácii aj v samotných zariadeniach. Pri aplikáciách analyzujeme možné riziká a hľadáme bezpečné riešenia pre používania mobilných zariadení vo firemnom prostredí. U mobilných telefónov vykonávame forenznú analýzu prístrojov, ktoré sa stali terčom hackerských útokov. S využitím týchto skúseností pomáhame s tvorbou bezpečných aplikácií.

 

Nedôveruj, preveruj!

Jeden z našich popredných klientov nás požiadal o penetračné testy novo vytváranej mobilné aplikácie, ktorá spravuje finančné informácie používateľov. Keďže bola aplikácia vyvíjaná dodávateľskou firmou, boli sme klientom okrem overenie bezpečnosti požiadanie aj o preverenie dodržanie kritérií, ktoré mala aplikácie podľa návrhu spĺňať.

Pri penetračných testoch sme objavili niekoľko veľmi závažných zraniteľností v oblasti autentizácie a autorizácie, vďaka ktorým by mohol útočník pristupovať k profilovým a finančným informáciám všetkých užívateľov produktu. Táto veľmi kritické dáta by mohla byť hackermi využitá napríklad k phishingovým kampaniam, miereným na užívateľa, či priamo v útokoch na inštitúcii. Ak by táto situácia nastala už za reálnej prevádzky, hrozili by spoločnosti veľké finančné straty, s nimi spojená strata klientskej základne a poškodenie dobrej povesti. Pretože však penetračné testy prebehli včas pred publikácií aplikácie do reálnej prevádzky, podarilo sa tomuto vážnemu incidentu zabrániť.

Analýza návrhu a reálneho stavu aplikácie navyše poukázala na niektoré odchýlky od dohodnutých požiadaviek, napríklad v oblasti práce s dokumentmi užívateľa, ktorý podlieha zákonu o GDPR, ktorú dodávateľ v aplikácii nedostatočne zabezpečil. Klient tak mohol v rámci zmluvy vyjednať urýchlené bezplatnej opravy, a ešte tak navýšiť úroveň zabezpečenia svoje mobilné aplikácie.

Popis riešenia​

V priebehu posledných rokov sa presunula väčšia časť IT aktivít od počítačov do mobilných prístrojov. Inteligentné zariadenia strážia domácnosti, mobilné telefóny pristupujú k finančným účtom alebo firemnej pošte. Spolu s neustále rastúcim množstvom informácií dostupných online stúpajú aj nároky na ich bezpečnosť.

Penetračnými testami týchto zariadení pomáhame odhaliť vážne nedostatky v implementácii najrôznejších aplikácií, ktoré by mohli napáchať veľké škody, pokiaľ by boli zneužité útočníkmi. Náš tím etických hackerov hľadá bezpečnostné chyby a simuluje útoky na aplikačnú (klientsku) aj sieťovú (serverovú) časť systému. Tým preveruje ich schopnosť odolávať reálnym kybernetickým útokom z vonkajšieho prostredia.

Penetračné testy mobilných aplikácií

  • Audity aplikácií pre operačné systémy iOS a Android.
  • Vlastná metodológia položená na základoch OWASP Mobile Top10 a Mobile Application Security Verification Standard (MASVS), rozšírená o testy v oblasti business logiky a ďalšie scenáre čerpajúce z našej dlhoročnej praxe.
  • Využívanie manuálnych, automatizovaných aj semiautomatizovaných techník na odhalenie zraniteľných častí aplikácií.
  • Penetračné testy mobilného klienta, transportnej vrstvy aj serverovej časti aplikácie. Preverenie možnosti úniku dát, eskalácia privilégií, autentizačných problémov a mnohých ďalších.
  • Aby sme sa prispôsobili potrebám zákazníka, ponúkame dve možnosti testovania:
        • Komplexné (full scan): úplný penetračný test, v ktorom sú preverené všetky časti aplikácie podľa kompletnej metodiky.
        • Rýchle (quick scan): redukovaný penetračný test, v ktorom sa zameriavame iba na najdôležitejšie oblasti aplikácie a najbežnejšie typy zraniteľností. Obvykle polovičná prácnosť oproti komplexným testom.

Audity správy mobilných zariadení (MDM)

  • konfigurácia administračného rozhrania podľa aktuálnych bezpečnostných štandardov a praktík
  • nastavenia a konfigurácia mobilných zariadení podľa firemných politík
  • penetračné testy mobilných aplikácií spravovaných MDM a používaných vo firemnom kontajneri
  • konzultácia a nastavenie politík BYOD

Audity mobilných operačných systémov

  • analýza kritických oblastí operačných systémov
  • konzultácia možných riešení pre bezpečné používanie mobilných prístrojov vo firemnom prostredí

Forenzná analýza mobilných zariadení

  • analýza neštandardného správania aplikácií či systému
  • preverenie prítomnosti škodlivého malwaru, možných bezpečnostných chýb a stôp prieniku a exfiltrácia dát zo zariadení

Penetračné testy IoT zariadení

  • preverenie bezpečnosti zariadení pripojených do firemnej či domácej siete
  • analýza fyzického zabezpečenia, firmwaru, komunikácie (vrátane bezdrôtovej) v rámci internej siete či cloudu
  • smart home riešenia, kamery, autá, routery, interkomy, smart cities a ďalšie

Analýzy zdrojových kódov

  • kombinácia statickej analýzy pomocou automatizovaných nástrojov a manuálnej revízie kódu
  • jazyky JAVA, C#, JavaScript, Kotlin a iné

Naše prednosti

  • Patríme medzi zabehané české security firmy, na trhu úspešne pôsobíme už dlhšie než 30 rokov.
  • Máme viac než 10 rokov skúseností na poli bezpečnosti mobilných aplikácií a platforiem.
  • Náš tím tvoria špecialisti so skúsenosťami zo stoviek mobilných projektov.
  • Sme držiteľmi certifikácií eMAPT, CISSP, OSCP, OSCE, CEH a celého radu ďalších.
  • Prevádzkujeme vlastné hackerské laboratórium na výskum v oblasti mobility a IoT.
  • Načúvame klientom a prispôsobujeme testy ich potrebám a časovým možnostiam.
  • Sledujeme moderné trendy v oblasti mobilnej bezpečnosti a technológií.
  • Pri testovaní kladieme dôraz na manuálny prístup, ktorý vedie k odhaleniu väčšieho množstva chýb najmä v business logike aplikácií.

Referencie

V tejto oblasti máme mnohoročné skúsenosti z radu projektov pre významné organizácie vo svojom obore, ako je napr.:

    • Škoda Auto a.s.
    • Komerční banka a.s.
    • Kooperativa pojišťovna, a.s.
    • SAZKA, a.s.
    • Raiffeisenbank a.s.
    • Generali Česká pojišťovna, a.s.
    • Novartis s.r.o.

​Radi skonzultujeme vašu konkrétnu situáciu


Overenie: