Wij zijn |

Wat is een mobiele app pentest

Icon van mobiele app pentest

Mobiele apps, zowel Android als iOS, zijn voor bedrijven vaak kritische bedrijfsmiddelen, maar worden ook het vaakst over het hoofd gezien als het gaat om beveiliging. Mobiele apps maken vaak deel uit van een groter ecosysteem. Zo zijn de applicaties vaak gekoppeld aan API’s en andere webdiensten.

Dit leidt tot een groot en complex aanvalsoppervlak. Mobiele applicaties verwerken daarnaast vaak ook een schat aan informatie zoals persoonsgegevens. Een mobiele app pentest geeft inzicht in de zwakke plekken zodat er verbetering getroffen kan worden.

Welke type mobiele apps kunnen gepentest worden?

Mobiele app zijn er in verschillende soorten en maten. Dit kan worden onderverdeeld in drie verschillende type mobiele applicaties.

1. Progressive Web Apps (PWA)

Dit type mobiele app is het meeste gebaseerd op een normale website. Een PWA werkt dus ook als een gewone website. Zo kan een PWA geopend en gebruikt worden door elke (mobiele) browser. Het verschilt echter van een normale website omdat een PWA kan functioneren als app en deze kan dus ook toegevoegd worden aan het startscherm.

2. Native apps

Native apps zijn vaak specifiek voor één platform ontwikkeld en kunnen daardoor ook alle functionaliteiten van het apparaat volledig benutten. Hier kan gedacht worden aan bluetooth en de camera van het mobiele apparaat. Daarnaast blijven mobiele applicaties ook offline werken.

3. Hybrid Apps

Hybride apps maken combineert PWA’s en native apps. De app ziet eruit als een native app, maar het heeft de mogelijkheid om te functioneren op vele platforms. Hierdoor kunnen gebruikers dezelfde app op meerdere apparaten en besturingssystemen gebruiken. Hybride apps hebben ook meer opslagruimte dan native apps omdat ze (deels) gebruikmaken van de cloud in plaats van de fysieke opslag van het mobiele apparaat.

 

Wat wordt er tijdens een mobiele app pentest gevonden?

Net als bij een normale pentest wordt er bij een mobiele app pentest een breed scala aan kwetsbaarheden onderzocht. Hier kan gedacht aan:

  • De communicatie tussen de mobiele app en de server is niet afdoende beveiligd.
  • Gevoelige informatie wordt onveilig op het mobiele apparaat opgeslagen.
  • De mobiele applicatie is onvoldoende beschermd tegen reverse engineering.
  • Er wordt teveel geleund op client-side filtering in plaats van server-side.
  • Onderliggende koppelingen zoals systemen zijn niet up-to-date en daardoor vatbaar voor hackers.
  • Er is onvoldoende scheiding tussen gebruikers waardoor het voor hackers mogelijk is om persoonsgegevens van andere gebruikers op te vragen.
  • Normale gebruikers kunnen onbedoeld gebruikmaken van administratieve functionaliteiten met alle gevolgen van dien.

Waarom een pentest uitvoeren op een mobiele applicatie?

Stel, u heeft een mobiele applicatie die momenteel een kwetsbaarheid bevat die misbruikt kan worden door hackers. Zou u dit dan niet willen weten? Een mobiele pentest stelt u in staat om kwetsbaarheden in uw mobiele app te vinden en te verhelpen voordat aanvallers het misbruiken.

De kosten die nodig zijn om de kwetsbaarheden op te lossen die tijdens pentest aan het licht komen, zijn lager dan de potentiële financiële verliezen die u kunt lijden als gevolg van een hack. Organisaties die hun mobiele applicaties niet laten pentesten lopen daarnaast niet alleen directe financiële verliezen op, maar ook reputatieschade en juridische schade. Voorkomen is beter dan genezen.

Hoe kunnen wij u helpen?

Responder: toegang krijgen tot een netwerk

Een van de allereerste stappen die we ondernemen tijdens een bedrijfsnetwerk pentest is het aanzetten van de tool Responder. Dit is een tool die luistert en antwoordt op broadcast verkeer binnen het subnet, met als doel het verkrijgen van NTLM hashes van gebruikers.

read more

Stored XSS in BigBlueButton

Pentests.nl has discovered a vulnerability in BigBlueButton (version 2.4.7 and prior) which could be exploited to perform stored Cross-Site Scripting (XSS) attacks by sending private messages to users.

read more