App Security

Mobile Anwendungen auf Sicherheit testen

Die Vorteile von Apps im Unternehmensumfeld bestehen in deren vielfältigen Möglichkeiten. Der Einsatz erfordert jedoch einen kritischen Blick auf die Risiken, um durch App-Prüf- und Freigabemechanismen einer Gefährdung effektiv begegnen zu können. Für IT-Verantwortliche stellt sich daher die Frage, welche Risiken durch die Verwendung einer App für ihr Unternehmen bestehen und ob diese tragbar sind oder nicht.

Überblick – Was wir leisten

Wir helfen Ihnen dabei das Sicherheitsniveau von iOS- und Android-Apps und der zugehörigen Backend-Systeme einzuschätzen. Wir entwickeln spezielle Analysewerkzeuge für alle relevanten App-Plattformen und betreiben Labore, in denen wir aktive Angriffe auf Apps und tiefgreifende App-Sicherheitsüberprüfungen durchführen. Hersteller werden durch uns über potentielle Sicherheitsprobleme in ihren Apps informiert. Entwickler erhalten von uns konkrete Empfehlungen für sichere App-Entwicklung. Wir beraten Sie dahingehend, ob eine App Ihren erforderlichen Sicherheitsanforderungen entspricht. Und wir teilen mit Nutzern kritisierbare Sicherheitseigenschaften.

Erfahrung

Unsere Kompetenzen liegen im Bereich der iOS und Android-Sicherheit und dabei insbesondere auf Aspekten der sicheren App-Entwicklung und der sicheren Verwendung einschlägiger App-Frameworks. Unsere Erfahrung aus tiefgreifenden manuellen App-Bewertungsprojekten seit 2010 und das starke Verständnis für IT-Sicherheitsrisiken bei der App-Entwicklung ermöglicht es uns, effizient App-Sicherheitsuntersuchungen und -bewertungen durchzuführen.

Unsere selbst entwickelten Tools ermöglichen es, Sicherheitsmerkmale nativer und hybrider iOS und Android-Apps zu bewerten. Selbst besonders gehärtete Apps mit Schutzmaßnahmen wie Debugger/Emulator-Schutz, Jailbreak/Rooting-Erkennung, Code Obfuscation, Ressourcenverifizierung, App-Integritätsprüfung und Hooking-Erkennung können dabei analysiert werden. Dies geschieht im Rahmen von statischen und dynamischen Analysen, symbolischer Ausführung und Ähnlichkeitserkennung auf Basis der Binärdateien oder des Quellcodes der iOS und Android-Apps.

Angebot

Für die nachfolgend genannten Projekttypen können in Abstimmung mit Ihnen verschiedene Ansätze verwendet werden, darunter die konzeptionelle Überprüfung, Black Box Penetrationstests, Reverse Engineering und Source Code Audit.

Lastenheftdefinition der App-Sicherheitsfunktionen

Wenn Sie die eigene App extern implementieren lassen, so sollten Sie plattformspezifische Maßnahmen dem Implementierungspartner genau zur Umsetzung definieren. Dies beinhaltet, mit welchen  iOS und Android-spezifischen Maßnahmen und Konfigurationen das App-Sicherheitskonzept und entsprechenden Mechanismen umgesetzt werden sollen. Wir helfen Ihnen bei der sachgemäßen Spezifikation der notwendigen Maßnahmen spezifisch für die iOS und Android App-Plattform.

Review des App-Sicherheitskonzepts

Zentraler Bestandteil einer Analyse der Sicherheitsarchitektur sind die produkt- bzw. dienstspezifischen App-Sicherheitsanforderungen. Diese bilden den Erwartungshorizont für die Untersuchungen und die abschließende Bewertung. Zudem wird die Angriffsfläche der App und ihrer Komponenten identifiziert. Auf Fehlstellen in der generellen Konzeption, der Sicherheitsanforderungen und in der Feinspezifikation spezifischer Maßnahmen wird im Rahmen der Analyse der Sicherheitsarchitektur hingewiesen und Empfehlungen gegeben, um diesen Aspekten adäquat begegnen zu können.

App-Sicherheitsbewertung

Dieser Projekttyp ist auf Ihre interne Entwicklung und Ihr Management ausgerichtet und betrachtet die Implementierung der App und auf Wunsch die der beteiligten Backendsysteme: Die Bewertungsberichte dieses Projekttyps liefern Ihnen alles, was Sie benötigen, um fundierte Entscheidungen zu treffen: dokumentierte Anforderungen und Annahmen, detaillierte Beschreibungen von Tests und Ergebnissen für Ihre Entwickler und aussagekräftige zusammenfassende Bewertungen für Ihr Management. Die Projektergebnisse sind auf Ihre internen Zwecke beschränkt.

In wettbewerbsintensiven Märkten kann eine hohe App-Sicherheit der Vorteil sein, der Sie zum Marktführer macht. Wir können Auswertungen durchführen, die spezifische Sicherheitsansprüche Ihrer App im Rahmen einer gezielten Bewertung überprüfen und Ihnen helfen, so auf die Sicherheitsbedürfnisse und auf Fragen Ihrer Kunden einzugehen. Der Projektbericht konzentriert sich auf die angestrebten Sicherheitsansprüche und kann im Rahmen eines NDA an Ihre Kunden/Partner weitergegeben werden.

Öffentliche Aussagen zur App-Sicherheit

Testate und Testierungsberichte zeigen Ihren Kunden und der Öffentlichkeit, dass Sie sich um die Sicherheit Ihrer App kümmern. Von einem unabhängigen Labor unter der renommierten Marke Fraunhofer herausgegeben, vermitteln sie Vertrauen und stärken Ihr Umsatzpotenzial. Apps können ein Fraunhofer SIT Testat bei der Erfüllung aller angestrebten Sicherheitsanforderungen erhalten. Das Testat selbst kann zu Marketingzwecken als Differenzierungsmerkmal gegenüber Ihrem Mitbewerber verwendet werden.

Schulung von App-Entwicklern

Wir verbringen viel Zeit damit, Schwachstellen von Apps anzugreifen, indem wir beispielsweise Verschlüsselungen aushebeln, Implementierungsfehler finden und nach sensiblen, unsicher gespeicherten App-Daten suchen. Das Wissen, was man bei der App-Entwicklung besser nicht machen sollte und auf welche bekannten, sicheren Building Blocks für sicherheitsrelevante App-Funktionen man stattdessen zurückgreifen sollte, teilen wir gerne mit unseren Kunden und Partnern in App-Entwicklerschulungen.

Ansprechpartner

Dr. Jens HeiderAbteilungsleiter Testlab Mobile Security

Telefon+49 6151 869-233
E-Mail senden

Ansprechpartner

Dr.-Ing Siegfried RasthoferAbteilungsleiter Secure Software Engineering

Telefon+49 6151 869-177
E-Mail senden

Stellenangebote

Fraunhofer SIT sucht wiss. Mitarbeiter/innen für den Bereich Cybersicherheit

Wir suchen zum nächstmöglichen Zeitpunkt engagierte und exzellente Wissenschaftlerinnen und Wissenschaftler für Cybersicherheit und Privatsphärenschutz, die den Aufbau des Nationalen Forschungszentrums für angewandte Cybersicherheit mitgestalten möchten. In diesem Zusammenhang sind mehrere Stellen mit Aufgaben zur fachlichen und personellen Leitung in Forschungs- und Entwicklungsprojekten zu besetzen.