Wij zijn |
Wat is een mobiele app pentest
Mobiele apps, zowel Android als iOS, zijn voor bedrijven vaak kritische bedrijfsmiddelen, maar worden ook het vaakst over het hoofd gezien als het gaat om beveiliging. Mobiele apps maken vaak deel uit van een groter ecosysteem. Zo zijn de applicaties vaak gekoppeld aan API’s en andere webdiensten.
Dit leidt tot een groot en complex aanvalsoppervlak. Mobiele applicaties verwerken daarnaast vaak ook een schat aan informatie zoals persoonsgegevens. Een mobiele app pentest geeft inzicht in de zwakke plekken zodat er verbetering getroffen kan worden.
Welke type mobiele apps kunnen gepentest worden?
Mobiele app zijn er in verschillende soorten en maten. Dit kan worden onderverdeeld in drie verschillende type mobiele applicaties.
1. Progressive Web Apps (PWA)
Dit type mobiele app is het meeste gebaseerd op een normale website. Een PWA werkt dus ook als een gewone website. Zo kan een PWA geopend en gebruikt worden door elke (mobiele) browser. Het verschilt echter van een normale website omdat een PWA kan functioneren als app en deze kan dus ook toegevoegd worden aan het startscherm.
2. Native apps
Native apps zijn vaak specifiek voor één platform ontwikkeld en kunnen daardoor ook alle functionaliteiten van het apparaat volledig benutten. Hier kan gedacht worden aan bluetooth en de camera van het mobiele apparaat. Daarnaast blijven mobiele applicaties ook offline werken.
3. Hybrid Apps
Hybride apps maken combineert PWA’s en native apps. De app ziet eruit als een native app, maar het heeft de mogelijkheid om te functioneren op vele platforms. Hierdoor kunnen gebruikers dezelfde app op meerdere apparaten en besturingssystemen gebruiken. Hybride apps hebben ook meer opslagruimte dan native apps omdat ze (deels) gebruikmaken van de cloud in plaats van de fysieke opslag van het mobiele apparaat.
Wat wordt er tijdens een mobiele app pentest gevonden?
Net als bij een normale pentest wordt er bij een mobiele app pentest een breed scala aan kwetsbaarheden onderzocht. Hier kan gedacht aan:
- De communicatie tussen de mobiele app en de server is niet afdoende beveiligd.
- Gevoelige informatie wordt onveilig op het mobiele apparaat opgeslagen.
- De mobiele applicatie is onvoldoende beschermd tegen reverse engineering.
- Er wordt teveel geleund op client-side filtering in plaats van server-side.
- Onderliggende koppelingen zoals systemen zijn niet up-to-date en daardoor vatbaar voor hackers.
- Er is onvoldoende scheiding tussen gebruikers waardoor het voor hackers mogelijk is om persoonsgegevens van andere gebruikers op te vragen.
- Normale gebruikers kunnen onbedoeld gebruikmaken van administratieve functionaliteiten met alle gevolgen van dien.
Waarom een pentest uitvoeren op een mobiele applicatie?
Stel, u heeft een mobiele applicatie die momenteel een kwetsbaarheid bevat die misbruikt kan worden door hackers. Zou u dit dan niet willen weten? Een mobiele pentest stelt u in staat om kwetsbaarheden in uw mobiele app te vinden en te verhelpen voordat aanvallers het misbruiken.
De kosten die nodig zijn om de kwetsbaarheden op te lossen die tijdens pentest aan het licht komen, zijn lager dan de potentiële financiële verliezen die u kunt lijden als gevolg van een hack. Organisaties die hun mobiele applicaties niet laten pentesten lopen daarnaast niet alleen directe financiële verliezen op, maar ook reputatieschade en juridische schade. Voorkomen is beter dan genezen.
Hoe kunnen wij u helpen?
QR Codes: Het onverwachte wapen in Device Code Phishing
Device code phishing, net als aanvallen via Adversary-in-the-middle (AiTM), vertegenwoordigt een geavanceerde vorm van cyberdreiging die zich onderscheidt van traditionele phishing. Device code phishing exploiteert de ‘OAuth2 Device Authorization Grant flow‘ van Microsoft Azure, die gebruikers in staat stelt zich aan te melden bij apparaten met beperkte invoermogelijkheden.
Cross-Site Scripting (XSS): wat is het en hoe te voorkomen
In deze blogpost lees je alles over Cross-Site Scripting (XSS). Welke vormen van XSS er zijn. Wat de impact van een XSS-aanval kan zijn en hoe je het kan voorkomen.
CORS: het belang van Cross-Origin Resource Sharing
Bij onze klanten zien we een toenemende implementatie van Cross-Origin Resource Sharing (CORS). Helaas constateren we ook een stijging in het aantal onveilig geconfigureerde CORS-implementaties. In deze blog duiken we dieper in wat CORS is, de meest voorkomende misconfiguraties en hun potentiële risico’s, en hoe je sterke CORS-regels kunt instellen om je webapplicaties te beschermen.