Mobile Penetration Testing

Ihre App in den Händen von Experten — Sicher vom UI über die Datenablage bis zur API

Mobile Applikationen sind heute oft das Herzstück der digitalen Interaktion. Ob E-Banking, mobile Patienten-Dossiers, elektronische Türöffnungen oder die Steuerung industrieller Anlagen: Apps verarbeiten hochsensible Daten und kommunizieren über komplexe Schnittstellen. Doch genau diese Vielseitigkeit macht sie zu einem attraktiven Ziel für Angreifer.

Standardisierte Web-Security-Scans reichen hier nicht aus. Mobile Betriebssysteme wie iOS und Android haben eigene Sicherheitsarchitekturen und Angriffsvektoren. Sie sind zudem oft anderen Risiken, wie zum Beispiel dem physischen Zugriff, ausgeliefert. Redguard unterstützt Sie dabei, Schwachstellen zu identifizieren, bevor sie ausgenutzt werden können. Mit unserem spezialisierten «Mobile Testing Lab» und eigens entwickelten Analyse-Tools blicken wir tief unter die Haube Ihrer Anwendung.

Angebot anfragen

Das Redguard «Mobile Testing Lab»

Um mobile Apps effizient und realitätsnah zu prüfen, nutzen wir eine dedizierte Testumgebung für mobile Applikationen, mit spezieller Ausstattung:

  • Spezielle Testgeräte: Eine zentrale Frage ist oft, wie gut eine App vor Angriffen auf einem kompromittierten Gerät geschützt ist. Denn es gibt auch in dieser Situation Schutzmassnahmen, welche den Schaden verringern können. Daher pflegen wir diverse Geräte, mit denen wir diese Angriffe simulieren können. Nur so können wir Sicherheitsmechanismen wie das Sandboxing umgehen und prüfen, ob Ihre Daten auch bei einem physischen Zugriff auf das Endgerät geschützt bleiben.
  • Reverse Engineering: Unsere Spezialisten dekompilieren zunächst Ihre App, um unsichere Bibliotheken, hartcodierte Geheimnisse, risikoreiche API-Aufrufe oder Konfigurationsfehler im Quellcode aufzuspüren. In diesem Schritt werden auch wichtige Erkenntnisse gesammelt, die bei der Laufzeitanalyse benötigt werden.
  • Inhouse-Entwicklung «PARIS»: Mit unserer Eigenentwicklung PARIS (Process-Attached Remote Interception Solution) machen wir Unsichtbares sichtbar. Dieses Tool vereinfacht uns die Laufzeitanalyse (Dynamic Analysis) stark. Selbst wenn Ihr App-Code verschleiert ist, können wir wichtige sicherheitsrelevante Ereignisse in Echtzeit auf einer Timeline visualisieren und analysieren.

Effiziente Analyse dank PARIS und OWASP MAS — Unser Technologie-Vorsprung

Moderne Apps schützen sich oft durch Code-Verschleierung (Obfuscation), was herkömmliche Analysen zeitaufwendig macht. Im Rahmen eines mehrtägigen internen Hackathons, bei Redguard auch als jährliche Research Days bekannt, haben wir mit PARIS eine Software-Lösung geschaffen (ja, in Paris), die diese Komplexität bändigt:

  • Echtzeit-Monitoring: PARIS überwacht sicherheitsrelevante Funktionen in den Bereichen Datenablage, Kryptografie, Authentifizierung und Netzwerk zur Laufzeit der App.
  • Risikobeurteilung: Diese Funktionen werden auf Risiken überwacht. Wenn eine API zum Beispiel mit unsicheren Parametern aufgerufen wird, wird ein Risiko generiert, welches die Sicherheits-Tester und Testerinnen dann manuell verifizieren. Damit steigern wir die Effizienz und schliessen False Positives praktisch aus.
  • OWASP MAS als Basis: Unsere Tools und Sicherheits-Tester und Testerinnern orientieren sich am Mobile Application Security Project von OWASP. Damit wird sichergestellt, dass wir alle Bereiche einer App korrekt testen und so auch Risiken identifizieren, welche einfache Schwachstellenscanner oft übersehen.
  • Unser Commitment: Wir nutzen das OWASP MAS nicht nur, sondern steuern auch aktiv zu bei. Zudem entwickeln wir eine Referenz-App welche oft gesehene Schwachstellen implementiert. Damit stellen wir sicher, dass das Framework aktuell und ein starkes Fundament für Mobile App Penetration Tests bleibt.

Unser Vorgehen: Methodik mit System

Wir folgen einem bewährten Prozess, der über das reine Suchen von Bugs weit hinausgeht:

1. Bedrohungsmodellierung

Gemeinsam identifizieren wir die kritischsten Assets. Dann erstellen wir ein Bedrohungsmodell und stellen uns unter anderem folgende Fragen:

  • Wie ist die Architektur der App aufgebaut?
  • Wie werden Backend Services verwendet?
  • Wo und wie wird die App üblicherweise verwendet?
  • Was sind mögliche Angriffsvektoren?
  • Nutzt die App Sicherheitsmassnahmen von Android oder iOS?
  • Gibt es regulatorische Anforderungen an die Daten oder die Verfügbarkeit?
  • Was wäre der grösste Schaden im Falle einer Kompromittierung?

Die Antworten auf diese Fragen sind die Basis unserer weiteren Arbeit und leiten die Sicherheits-Tester und Testerinnen bei den eigentlichen Tests.

2. Statische & Dynamische Analyse der App

Wir kombinieren klassisches Reverse Engineering mit moderner Laufzeitanalyse.

Im Rahmen der statischen Analyse wird die App zuerst «kartografiert». Das heisst, wir enumerieren die Komponenten, verwendete Bibliotheken, die genutzten Funktionen der Betriebssysteme, aber auch die initiierten Netzwerkverbindungen. Hier wird auch untersucht, ob und wie sich die App vor Reverse Engineering schützt. Zum Beispiel mittels Code Verschleierung. Dazu muss die App nicht gestartet werden.

Danach wird die App gestartet. Dank PARIS identifizieren wir so auch Risiken, welche nur zur Laufzeit identifiziert werden können, insbesondere bei komplexen App-Architekturen.

3. Server API & Backend Testing

Mobile Apps kommunizieren oft mit verschiedenen Backend-Servern. Daher wird ein Mobile App Penetration Test oft in Kombination mit einem Backend Penetration Test durchgeführt. Nur so kann sichergestellt werden, dass die gesamte Applikation auf Sicherheitsrisiken untersucht wurde.

Für den Netzwerk-Test konfigurieren wir unsere Testgeräte so, dass wir den Netzwerkverkehr mitlesen können. Dann testen wir, genauso wie wir es auch bei einer Webapplikation machen, die Server API.

4. Ergebnisbericht & Beratung

Sie erhalten keinen automatisierten Scan-Report, sondern eine fundierte Analyse inklusive konkreter, priorisierter Handlungsempfehlungen. Wir erklären nicht nur das «Was», sondern auch das «Wie» der nachhaltigen Behebung.

Falls Sie zusätzlich Bedarf an Entwicklerschulungen speziell für sichere Mobile Apps haben, können wir Sie auch gerne diesbezüglich beraten.

Warum Redguard für Mobile Security?

  • Eigene Forschung & Entwicklung: Mit Tools wie PARIS setzen wir dort an, wo Standard-Werkzeuge an ihre Grenzen stossen.
  • Starkes Commitment zur Mobile Security: Wir arbeiten aktiv in der globalen IT-Security-Community mit, und tragen dazu bei, dass das Security-Framework OWASP MAS aktiv weiterentwickelt wird.
  • Tiefenprüfung statt Oberfläche: Durch den Einsatz von präparierter Hardware simulieren wir Angriffe durch versierte Akteure.
  • Praktische Relevanz: Wir geben Ihnen keine Auflistung von theoretischen Problemen, sondern massgeschneiderte Empfehlungen, die zu Ihrem Risikoprofil passen.
  • Ganzheitlicher Blick: Wir betrachten das gesamte Ökosystem – vom Quellcode über die lokale Datenbank bis hin zur Cloud-Schnittstelle.

Ihre Vorteile auf einen Blick

  • Schutz Ihrer Reputation: Verhindern Sie Datenlecks, die das Vertrauen Ihrer Kunden nachhaltig schädigen könnten.
  • Compliance & Standards: Erfüllen Sie regulatorische Anforderungen (z. B. nDSG, GDPR) und Branchenstandards (z. B. OWASP MAS Projekte).
  • Sichere Release-Zyklen: Identifizieren Sie frühzeitig Architekturfehler, um teure Nachbesserungen nach dem App-Store-Release zu vermeiden.
  • Direkter Draht zu Experten: Profitieren Sie vom Know-how unserer Pentester, die ihre eigenen Tools für die Community und unsere Kunden entwickeln.

Haben Sie eine Mobile App, die Sie auf Herz und Nieren prüfen lassen möchten? Lassen Sie uns gemeinsam sicherstellen, dass Ihre Applikation auch fortgeschrittenen Angriffen standhält. Wir freuen uns auf Ihre Kontaktaufnahme für ein unverbindliches Erstgespräch.

Angebot anfragen

FAQ – Häufig gestellte Fragen zum Mobile Penetration Testing

Benötigt Redguard für den Test den Quellcode der App?

Ein Test ist sowohl mit als auch ohne Quellcode möglich («Grey-Box» vs. «Black-Box»). Wir empfehlen jedoch den Grey-Box-Ansatz: Wenn uns der Code oder eine Dokumentation der Apps und der Server-API-Schnittstellen vorliegt, können wir effizienter testen und auch versteckte Logikfehler finden, die rein oberflächlich kaum erkennbar sind.

Testet ihr sowohl Android- als auch iOS-Versionen?

Ja. Da sich die Sicherheitsarchitekturen (z. B. Keychain bei iOS vs. Keystore bei Android) grundlegend unterscheiden, untersuchen wir beide Plattformen individuell. Wir prüfen dabei auch, ob die Sicherheitsmassnahmen auf beiden Systemen konsistent umgesetzt wurden.

Können Apps getestet werden, die Code-Verschleierung (Obfuscation) nutzen?

Absolut. Wir empfehlen sogar, dass Sie uns eine Version mit allen härtenden Massnahmen bereitstellen. Damit können wir das effektive Risiko der Release-Version bestimmen. Durch unseres Tooling können wir zudem auch bei gehärteten Apps einen Teil der Laufzeitanalyse durchführen.

Es gibt jedoch auch härtende Massnahmen, welche bestimmte Techniken dieser Tools gezielt unterbinden. Wenn Sie solche Massnahmen oder Obfuscation-Frameworks einsetzen, empfehlen wir auch eine nicht gehärtete Version bereitzustellen, damit wir zusätzlich die Business-Logik der App effizient untersuchen können.

Was ist der Unterschied zu einem normalen Web-Pentest?

Ein Web-Pentest konzentriert sich primär auf den Server. Beim Mobile Pentest liegt der Fokus auf der «lokalen Sicherheit»:

  • Wie sicher sind Daten auf dem physischen Gerät gespeichert?
  • Werden die Benutzer und Benutzerinnen lokal authentifiziert?
  • Schützt Ihre App die Daten der Kunden auch auf einem kompromittierten Gerät so gut wie möglich?
  • Nutzen Ihre Apps die durch die Betriebssysteme bereitgestellten Schutzmassnahmen korrekt?
  • Kommunizieren die Komponenten der App sicher mit anderen Anwendungen auf dem Gerät?

Da mobile Apps jedoch oft mit einer Server-API kommunizieren, wird ein Mobile App Penetration Test oft zusammen mit einem Web Applikation Penetration Test durchgeführt.

Wann ist der beste Zeitpunkt für einen Mobile Penetration Test?

Idealerweise findet ein umfassender Test vor dem ersten Release oder nach grösseren Änderungen an der Architektur statt. Wir empfehlen jedoch, Security-Checks regelmässig durchzuführen, da sich sowohl die Angriffsmethoden als auch die Sicherheitsfeatures der Betriebssysteme (iOS/Android) laufend weiterentwickeln.

Wie lange dauert ein typischer Test?

Die Dauer hängt stark vom Umfang der Apps ab. Oft werden mobile Apps heute mit Frameworks wie Flutter oder React Native entwickelt. In diesem Fall wählen wir oft eine Lead-Plattform, wie zum Beispiel Android, und testen dann bei iOS nur die nativen Bestandteile. Im Schnitt rechnen wir aber etwa mit 5 Personentage pro nativer App. Optional kommt dann noch eine Backend-Analyse hinzu, deren Umfang stark von der API-Komplexität abhängt (Anzahl der Endpunkte etc.).

Wo erfahre ich mehr über Mobile App Sicherheit?

Wir führen Schulungen speziell für Mobile-App Entwickler und Entwicklerinnen durch. Im Rahmen dieser Schulungen wird erklärt, wie Sie sichere iOS und Android Apps entwickeln können, die unseren Penetration Tests standhalten.

Angebot anfragen

Mobile Application Penetration Testing Blog Posts

MAS Reference App - Implementing Mobile App Vulnerabilities and Defenses Mar 6, 2025

Mobile applications are an integral part of everyday life, often handling sensitive data such as personal messages, financial information, or digital credentials. Ensuring these apps are secure is paramount. At Redguard, we specialize in mobile application penetration testing, identifying vulnerabilities before attackers can exploit them. To conduct thorough assessments, we leverage the OWASP Mobile Application Security (MAS) framework, which provides comprehensive coverage of mobile security topics. While existing «Crackme» apps provide valuable training for security professionals, they are not always aligned with real-world vulnerabilities. To address this gap, we created the MAS Reference App, which implements a broad range of MAS-defined weaknesses and defense-in-depth techniques. Read this blog post to find out more about its key features and how it supports security testing and development.

Blog-Post lesen

Laufzeitanalyse einer Mobile App in PARIS Oct 25, 2023

Das Testen von Sicherheitsrisiken bei mobilen Anwendungen ist mit einigen Herausforderungen verbunden. So wird der Code der Apps zum Beispiel oft verschleiert, was eine statische Analyse erschwert. In so einem Fall ist eine Analyse der Anwendung zur Laufzeit eine mögliche Alternative. Bei komplexen Anwendungen kann dies jedoch ebenfalls ein aufwendiges Unterfangen sein, da die Security Tester die Anwendung zuerst im Detail verstehen müssen. Typische Fragen, die beim Testen von Apps auftauchen, sind beispielsweise auf welche Art und Weise Daten gespeichert, ver- oder entschlüsselt werden, ob die Anwendung sichere Authentifizierung nutzt oder wie Netzwerkressourcen angesprochen und genutzt werden. Bei einer Laufzeitanalyse versuchen die Security Tester dabei jeweils die relevanten Funktionen zu überwachen, welche beim Verwenden der Anwendung ausgeführt werden (könnten). Je nach Komplexitätsgrad der Anwendung gleicht dies der Suche nach der Nadel im Heuhaufen. Um diese Komplexität zu minimieren und den Einstieg in die Analyse zu vereinfachen, haben sich zwei unserer Security Tester an den Redguard Research Days in Paris diesem Thema angenommen und dabei ein neues Tool entwickelt.

Blog-Post lesen

Redguards «Mobile Testing Lab» in Aktion – Hack mit uns eine App Jul 28, 2022

Wir nutzen mobile Applikationen für E-Banking, Social Media, Medienkonsum aller Art oder um wichtige Dokumente zu bearbeiten, um sie dann auf dem Gerät zu speichern. Daher sind die Sicherheitsanforderungen an solche Apps stetig gewachsen – weshalb viele Kunden die Sicherheit ihrer mobilen Applikationen von Redguard prüfen lassen. Im Vergleich zu Penetration Tests von Webanwendungen, Netzwerken oder Software genereller Art, gibt es bei Mobile Apps jedoch einige Unterschiede, die beim Testing berücksichtigt werden müssen. Dazu haben wir ein «Mobile Testing Lab» entwickelt. Wie nutzen wir dieses im Alltag? Erhalten Sie hier einen Einblick.

Blog-Post lesen

Sichere Apps dank unserem «Mobile Testing Lab» Aug 4, 2021

In der Praxis testet Redguard eine sehr breite Sammlung von Web-Anwendungen, Netzwerken oder Softwares genereller Art. Doch was ist mit mobilen Anwendungen? Mobile Apps sind aus keinem Wirtschaftszweig mehr wegzudenken. Oft werden mit ihrer Hilfe sensitive Informationen verarbeitet. Damit wir diese Anwendungen effizient testen können, benötigen wir die entsprechende Ausrüstung. Diese haben wir entwickelt. Erhalten Sie hier einen Einblick in das spannende Testen von mobilen Anwendungen.

Blog-Post lesen