Mobiele Security Testing

Apps en smartphones zijn een waardevol doelwit voor hackers. Het bouwen en onderhouden van veilige mobiele applicaties is belangrijker dan ooit. We hebben de kennis en tools om uw apps en API's veilig te houden.

We zorgen ervoor dat uw apps en API's veilig zijn!

We weten de ins en outs van de nieuwste mobiele dreigingen en beveiligingsmaatregelen in moderne apps. Een van de redenen dat de meeste grote Nederlandse banken met ons samenwerken om hun mobiel bankieren applicaties veilig te houden.

  • Sterke Cryptografie
  • Geen data lekken
  • Geen MiTM Aanvallen
  • Veilige Data Opslag
  • Veilige APIs
  • Device Binding
  • Veilige Registratie
  • Sterke Autorisatie
  • Sterke Authenticatie
  • Veilige Sessies

Uw app testen op alle mobiele dreigingen

Er komen steeds meer nieuwe mobiele dreigingen voor en mobiele ontwikkelingsteams hebben het moeilijk om ze bij te houden. Tijdens een beveiligingsonderzoek op mobiele applicaties testen wij uw apps op alle actuele mobiele dreigingen die relevant zijn voor uw platform, frameworks en bibliotheken. Inclusief de 91 problemen zoals gerapporteerd in de laatste 2016 OWASP Mobile Checklist.

PhoneGap, React, Xamarin, Mono..

Wij zien veel verschillende mobiele frameworks. Zij hebben allemaal hun eigen specifieke beveiligingsfuncties en valkuilen. In de loop der jaren hebben wij een groot aantal verschillende implementaties van beveiligingsonderdelen getest en beoordeeld, zoals apparaatregistratie, authenticatie, key exchange, PIN/TAN-systemen, sessiebeheer, lokale dataopslag en netwerk transport. Laat ons u helpen om het beveiligingsniveau van uw apps te controleren en u te adviseren over hoe u ook zeer veilige apps kunt bouwen.

Op maat gemaakt Mobile Testing Framework

Een beveiligingsonderzoek gericht op een mobiele applicatie kan tijdrovend zijn, vooral als de broncode niet beschikbaar is. Om ons onderzoek te bespoedigen hebben we een op maat gemaakte Mobile Security Testing Framework (MSTF) opgesteld. Met dit MSTF kunnen wij beveiligingsrelevante operaties van apps op het platformniveau loggen, analyseren en wijzigen. Inclusief bestands-, netwerk-, crypto-, keychain-, config- en logging-operaties. Het stelt ons ook in staat om applicaties te wijzigen/patchen, om zo gemakkelijk certificate pinning en andere beveiligingscontroles te omzeilen die wellicht ons onderzoek kunnen vertragen.

Apps en API's

Hoewel er veel risico's van toepassing zijn op apps (client-side) zelf, blijven de grootste beveiligingsrisico's van toepassing op de onderliggende mobiele services en API's. De juiste beveiliging daarvan is de eerste verdediging tegen kritieke beveiligingsrisico's, zoals onbevoegde toegang tot uw backend. Ons advies is dat u zich niet alleen focust op uw apps, want vaak is het de API-laag waar wij de meest kritieke kwetsbaarheden detecteren.

Onze werkwijze

  • 1

    Intake

    Tijdens de intake (kosteloos) maken we kennis, bespreken we uw project en wisselen we alle informatie uit om de scope en omvang van uw project te bepalen voor de kostenindicatie.

  • 2

    Aanbod

    U ontvangt het voorstel met een gedetailleerd overzicht van de activiteiten, deliverables, planning en kosten.

  • 3

    Voorbereiding

    Bij akkoord worden de werkzaamheden definitief ingepland en de voorbereidingen getroffen.

  • 4

    Uitvoerende activiteiten

    De pentest, source code review of andere activiteiten worden volgens planning uitgevoerd. Tussendoor houden we u goed op de hoogte van de voortgang en bevindingen.

  • 5

    Findings meeting

    Zodra de activiteiten zijn uitgevoerd, vind de findinsgmeeting plaats. Daar bespreken we samen de resultaten van het onderzoek, demonstreren we eventueel bevindingen en beoordelen we samen de definitieve risico's.

  • 6

    Eindrapport

    De resultaten en aanbevelingen uit het onderzoek worden in detail gerapporteerd vanuit een technisch en management oogpunt. Hoe verhoudt de beveiligingskwaliteit zich bijvoorbeeld ten opzichte van vergelijkbare onderzoeken die wij uitvoeren bij andere organisaties?

  • 7

    Afronding & Hertest

    Wanneer nodig (optioneel) wordt er nadat opdrachtgever de bevindingen heeft verholpen nog een hertest uitgevoerd. Om er zeker van te zijn dat alle lekken daadwerkelijk goed zijn verholpen. Het rapport wordt aangevuld met de laatste status (b.v. alle bevindingen op groen).

Bespreek uw project met ons →