App penetrationstest

”En app er virksomhedens firewall i dag” – Nuri Fattah, Senior Vulnerability Manager hos GlobalSequr og tidligere leder af NATOs Red Team

Rigtig mange virksomheder har i dag fået en virksomheds-app, hvilket er en rigtig god idé, da langt de fleste brugere benytter sig af smartphones og andre mobile enheder til at søge information.

Desværre ser vi, at disse apps meget sjældent er beskyttet tilstrækkeligt. Ligesom der indenfor websites findes CMS (Content Management System som f.eks. Drupal, WordPress m.v.), som muliggør en nem og hurtig måde at bygge websites, så findes det samme indenfor apps.

Hvor CMS i dag har fået ekstra lag af sikkerhed, så mangler disse lag hos de systemer, som udviklerne bruger til udvikling af apps. Lidt populært kan man sige, at IT-sikkerheden på apps er på samme niveau, som den var indenfor web for 10-15 år siden. Som eksempel kan nævnes, at der i Red Team fra GlobalSequr altid vil blive kigget på om virksomheden har en app – fordi en app i dag er en oplagt måde, at få adgang til virksomheden på.

Det er vores stærke holdning, at dette område er negligeret i forhold til risikoen – både fordi vi ser flere angreb mod apps, men også fordi det er så ”nemt” at hacke apps, hvis man har den nødvendige erfaring. Derfor anbefaler vi stærkt, at dette område bliver prioriteret højere hos virksomhederne fremover.

GlobalSequr leverer penetrationstest af apps på både:

  • iOS
  • Android

I en app penetrationstest kigger vi på følgende områder:

Fase Beskrivelse Tools
1 Static Analysis of Application and Supporting Files Bitpim, hex editor, custom scripts, IDA Pro, Mobile phone emulators, Microsoft ActiveSync (for Windows Mobile applications)
2 Application Review and Mapping Fiddler, hex editor, Bitpim, BREW Logger (for BREW devices), Microsoft ActiveSync (for Windows Mobile applications)
3 Analysis of Device, Application, and User Authentication and Authorization Fiddler, custom scripts
4 Input Validation Analysis Fiddler, custom scripts
5 Analysis of Application-Directed SMS Messages SMS “sniffers”, custom scripts
6 Assessment of Supporting Servers Nmap, netcat, openssl, Nessus, Nikto, Wikto, SSLSmart