Wij zijn |

Wat is een mobiele app pentest

Icon van mobiele app pentest

Mobiele apps, zowel Android als iOS, zijn voor bedrijven vaak kritische bedrijfsmiddelen, maar worden ook het vaakst over het hoofd gezien als het gaat om beveiliging. Mobiele apps maken vaak deel uit van een groter ecosysteem. Zo zijn de applicaties vaak gekoppeld aan API’s en andere webdiensten.

Dit leidt tot een groot en complex aanvalsoppervlak. Mobiele applicaties verwerken daarnaast vaak ook een schat aan informatie zoals persoonsgegevens. Een mobiele app pentest geeft inzicht in de zwakke plekken zodat er verbetering getroffen kan worden.

Welke type mobiele apps kunnen gepentest worden?

Mobiele app zijn er in verschillende soorten en maten. Dit kan worden onderverdeeld in drie verschillende type mobiele applicaties.

1. Progressive Web Apps (PWA)

Dit type mobiele app is het meeste gebaseerd op een normale website. Een PWA werkt dus ook als een gewone website. Zo kan een PWA geopend en gebruikt worden door elke (mobiele) browser. Het verschilt echter van een normale website omdat een PWA kan functioneren als app en deze kan dus ook toegevoegd worden aan het startscherm.

2. Native apps

Native apps zijn vaak specifiek voor één platform ontwikkeld en kunnen daardoor ook alle functionaliteiten van het apparaat volledig benutten. Hier kan gedacht worden aan bluetooth en de camera van het mobiele apparaat. Daarnaast blijven mobiele applicaties ook offline werken.

3. Hybrid Apps

Hybride apps maken combineert PWA’s en native apps. De app ziet eruit als een native app, maar het heeft de mogelijkheid om te functioneren op vele platforms. Hierdoor kunnen gebruikers dezelfde app op meerdere apparaten en besturingssystemen gebruiken. Hybride apps hebben ook meer opslagruimte dan native apps omdat ze (deels) gebruikmaken van de cloud in plaats van de fysieke opslag van het mobiele apparaat.

 

Wat wordt er tijdens een mobiele app pentest gevonden?

Net als bij een normale pentest wordt er bij een mobiele app pentest een breed scala aan kwetsbaarheden onderzocht. Hier kan gedacht aan:

  • De communicatie tussen de mobiele app en de server is niet afdoende beveiligd.
  • Gevoelige informatie wordt onveilig op het mobiele apparaat opgeslagen.
  • De mobiele applicatie is onvoldoende beschermd tegen reverse engineering.
  • Er wordt teveel geleund op client-side filtering in plaats van server-side.
  • Onderliggende koppelingen zoals systemen zijn niet up-to-date en daardoor vatbaar voor hackers.
  • Er is onvoldoende scheiding tussen gebruikers waardoor het voor hackers mogelijk is om persoonsgegevens van andere gebruikers op te vragen.
  • Normale gebruikers kunnen onbedoeld gebruikmaken van administratieve functionaliteiten met alle gevolgen van dien.

Waarom een pentest uitvoeren op een mobiele applicatie?

Stel, u heeft een mobiele applicatie die momenteel een kwetsbaarheid bevat die misbruikt kan worden door hackers. Zou u dit dan niet willen weten? Een mobiele pentest stelt u in staat om kwetsbaarheden in uw mobiele app te vinden en te verhelpen voordat aanvallers het misbruiken.

De kosten die nodig zijn om de kwetsbaarheden op te lossen die tijdens pentest aan het licht komen, zijn lager dan de potentiële financiële verliezen die u kunt lijden als gevolg van een hack. Organisaties die hun mobiele applicaties niet laten pentesten lopen daarnaast niet alleen directe financiële verliezen op, maar ook reputatieschade en juridische schade. Voorkomen is beter dan genezen.

Hoe kunnen wij u helpen?

Stored XSS in BigBlueButton

Pentests.nl has discovered a vulnerability in BigBlueButton (version 2.4.7 and prior) which could be exploited to perform stored Cross-Site Scripting (XSS) attacks by sending private messages to users.

read more

Win een phishing simulatie

Pentests.nl bestaat vandaag precies 100 dagen en wie jarig is trakteert. Daarom geven we drie gratis phishing simulaties weg! Laat een bericht achter via LinkedIn of onze contactpagina, dan ontvangt u van ons een lotnummer. Volgende week dinsdag zullen we de winnende lotnummers bekendmaken.

read more

ZIP-wachtwoord Conti locker kraken

In deze blogpost laten we zien hoe we in staat zjin geweest om de broncode van de Conti locker te bemachtigen door een plaintext-based attack op het ZIP-bestand uit te voeren. Dit laat het gevaar van het gebruik van ZIP-bestanden met een wachtwoord ter beveiliging van gevoelige informatie zien.

read more