Mobile Apps sind heutzutage ein wichtiger Bestandteil unseres Alltags. In vielen führenden und Entwicklungsländern dienen Smartphones als primäres Mittel für den Internetzugang.

Unternehmen verfügen daher über eine beträchtliche Menge an privaten Nutzerdaten, die sicher aufbewahrt werden müssen.

Die wachsende Bedrohung für Android-Geräte

Die Verbreitung von IoT-Geräten hat das Risiko von Datenschutzverletzungen erhöht. Viele dieser Geräte laufen mit dem Betriebssystem Android.

Im Jahr 2018 wurde die Datenbank von Air Canada durch eine massive Datenpanne bei mobilen Apps kompromittiert. Dadurch wurden Passnummern, Ablaufdaten, NEXUS-Nummern von Vielreisenden und Geburtsdaten von bis zu 20.000 Nutzern offengelegt.

Diese sensiblen Informationen werden oft im Dark Web verkauft, was ein erhebliches Risiko für Identitätsdiebstahl darstellt.

Verbesserter App-Schutz durch regelmäßige Updates

Die Sicherheit Ihrer Android-App zu gewährleisten, ist ein fortlaufender Prozess. Eine der effektivsten Strategien zur Verbesserung der App-Sicherheit sind regelmäßige Updates.

Die Bedrohungen im Bereich der Cybersicherheit entwickeln sich ständig weiter, da Angreifer immer neue Methoden zur Ausnutzung von Schwachstellen entwickeln. Daher kann eine Anwendung, die gestern noch sicher war, heute angreifbar sein.

Regelmäßige Updates sind unerlässlich, denn sie ermöglichen es Ihnen, potenziellen Bedrohungen einen Schritt voraus zu sein, indem sie bekannte Schwachstellen ausbessern und die Sicherheit Ihrer Anwendung stärken.

Android-Sicherheitsbedrohungen

Laut dem 2019 Data Breach Investigations Report von Verizon ist Malware die am wenigsten verbreitete Methode für eine Datenschutzverletzungen, noch hinter physischen Angriffen.

Wir wollen uns mit einigen oft übersehenen Sicherheitsbedrohungen befassen:

• Datenlecks: Datenlecks sind ein großes Problem im Bereich Datenschutz. Laut einer Umfrage gehen 28% der Befragten davon aus, dass es innerhalb der nächsten zwei Jahre mindestens eine weitere Datenschutzverletzung geben wird. Oftmals treffen Nutzer unwissentlich schlechte Entscheidungen darüber, welche Apps auf ihre Daten zugreifen und sie manipulieren können.
• ‍Wi-Fi-Interferenz: Die Verbindung zu ungesicherten Wi-Fi-Netzwerken kann zu Missbrauch führen. Der Datenverkehr ist ohne Verschlüsselung oder Sicherheitsmaßnahmen anfällig. Viele Menschen nutzen öffentliches WLAN, ohne dessen Vertrauenswürdigkeit zu überprüfen, und gefährden so möglicherweise ihre Daten.
• Veraltete Geräte: Veraltete Geräte wie Smartphones, Tablets und IoT-Geräte stellen neue Herausforderungen für die Unternehmenssicherheit dar. Insbesondere im Android-Ökosystem gibt es für einige Geräte keine rechtzeitigen Software-Updates. Wenn die Hersteller keine Updates bereitstellen, müssen die Unternehmen eine sichere Umgebung aufbauen.
• Betrug mit mobiler Werbung: Malware wird oft genutzt, um betrügerische Klicks auf legitime Werbung in mobilen Apps zu generieren. Android ist dabei die bevorzugte Plattform. Diese betrügerischen Aktivitäten beeinträchtigen mobile Werbetreibende, Publisher und Nutzer und wirken sich negativ auf Marketingbudgets und Publisher-Einnahmen aus.

Android App Penetration Testing Methodik

Die systematische Identifizierung von Schwachstellen ist unerlässlich, um den Schutz von Apps zu verbessern. Im Folgenden stellen wir eine spezielle Penetrationstest-Methodik für Android-Apps vor.

Part 1: Aufklärung

In der Anfangsphase des Pen-Tests definiert das Team die Hauptverwendungszwecke der Anwendung. Es identifiziert anfällige Bereiche im Datenfluss und untersucht Bibliotheken oder Funktionen. Ein umfassendes Verständnis der Funktionalitäten der Anwendung ist wichtig.

Part 2: Statische Analyse

Die statische Analyse untersucht den Quellcode auf statische Daten innerhalb der APK, die die Netzwerksicherheit gefährden oder den Angriffsvektor erweitern können. Dazu werden die Binärdatei und die APK dekompiliert und disassembliert.

Die statische Analyse umfasst verschiedene Aspekte:

• Code-Verschleierung
• Identifizierungs- und Verhinderungsmechanismen für Jailbreak
  
• SSL-Pinning-Mechanismen
• Zugriffsebenen auf andere Anwendungen.
• Systemgeheimnisse für die Speicherung von sensiblen und Klartextanwendungen

Part 3: Dynamische Analyse

Die dynamische Analyse deckt Fehler während der Software-Ausführung auf. Dabei wird der Echtzeit-Datenverkehr über Proxys abgefangen und auf Fehler bei der Authentifizierung und Autorisierung, Spoofing von Inhalten, Speicherlecks, unzureichenden Schutz auf der Transportschicht, Fehler in der Anwendungslogik und Cross-Site-Scripting überwacht.

Part 4: Befundbericht

Der Bericht enthält eine Zusammenstellung von identifizierten Schwachstellen. Diese sind nach CVSS v3 risikoqualifiziert. Zudem werden spezifische Ziele für die Behebung der einzelnen Schwachstellen und Empfehlungen zur Abhilfe genannt.

Die Priorisierung der zu behebenden Schwachstellen hängt von den geschäftlichen Konsequenzen und dem Risikoniveau ab.

Part 5: Beseitigung

Das interne Team oder ein externer IT-Sicherheitsdienstleister wie ByteSnipers kann auf Basis der Empfehlungen des Berichts Abhilfemaßnahmen ergreifen.

Es ist entscheidend, Folgemaßnahmen zu ergreifen und sicherzustellen, dass die Schwachstellen effektiv behoben werden.

Wenn entschieden wird, ob umfangreiche App-Upgrades durchgeführt werden sollen, müssen die bestehenden Risiken berücksichtigt werden.

Ist Android Pen-Testing den Aufwand wert?

Die Sicherung von Android-Apps umfasst nicht nur die Sicherung der App-Module, sondern auch die Sicherung von APIs und Servern.

Um Schwachstellen wie unsichere direkte Objektreferenzen und unsichere Kommunikation zu identifizieren, die böswillige Hacker ausnutzen können, empfiehlt es sich, regelmäßig eine Kombination aus manuellen Penetrationstests und automatisierten Schwachstellenscans durchzuführen.

Diese Tests können aufgrund ihrer Zeiteffizienz in den Entwicklungsworkflow integriert werden.

Bei ByteSnipers befürworten wir eine proaktive Wartung der App-Sicherheit durch beide Lösungen. Wenn Sie weitere Informationen zu Android Pen-Tests benötigen, kontaktieren Sie bitte unser Team.