MOBILE APP TESTS
iOS und Android,statisch unddynamisch geprüft.
Mobile Tests bei SEKurity folgen dem OWASP Mobile Application Security Verification Standard (MASVS) und dem Testing Guide (MASTG). Wir kombinieren statische Reverse-Engineering-Analyse der Binaries mit dynamischem Runtime-Testing auf entsperrten Geräten.
01 · STATISCH
Binary-Analyse, Secrets, Third-Party.
Wir zerlegen IPA- und APK-Artefakte, prüfen Obfuskierung, hartkodierte Secrets, API-Keys und Signaturschlüssel, analysieren Third-Party-SDKs auf bekannte Schwachstellen und bewerten die Angriffsoberfläche exportierter Activities, Services, Content Provider und URL-Schemes. Für iOS analysieren wir Entitlements, App Groups und Keychain-ACLs.
02 · DYNAMISCH
Jailbreak, Root, Pinning, Interception.
Auf gerooteten und gejailbreakten Geräten prüfen wir Jailbreak- und Root-Detection, umgehen Certificate Pinning mit Frida-Skripten, untersuchen TLS-Konfigurationen und hooken sicherheitsrelevante Methoden zur Laufzeit. Wir bewerten lokale Datenhaltung in SQLite, Preferences, Core Data, Keychain und Android Keystore und prüfen Backup- und Clipboard-Verhalten.
03 · BACKEND-KOPPLUNG
Die API zählt mit.
Eine Mobile App ohne Backend-Test ist halbgar. Wir prüfen die dahinterliegenden APIs mit demselben Rigor wie einen Web-Test: Autorisierung pro Objekt, Rate-Limiting, Device-Binding, Push-Token-Handling und die serverseitige Verifikation von In-App-Purchases. Jailbreak-Detection alleine schützt nichts, wenn die API jeden Request blind akzeptiert.
READY
Mobile-Tests nach MASVS, nicht nach Checkliste.
Sie bekommen einen Bericht, den Entwicklung und Sicherheitsabteilung gemeinsam abarbeiten können, inklusive reproduzierbarer Frida-Hooks und Empfehlungen für MASVS-Level L1 oder L2.