Why Organisations should rely on Mobile AppTesting

Größe: px

Ab Seite anzeigen:

Download "Why Organisations should rely on Mobile AppTesting"

Damian Kaufer
vor 6 Jahren
Abrufe

1 Why Organisations should rely on Mobile AppTesting Dr. Michael Spreitzenbarth & Jennifer Bombien Siemens CERT

2 Agenda Verifizieren und Testen mobiler Apps Potential verfügbarer App-Test Lösungen Vorstellung unseres AppTesting Konzepts Ein Jahr AppTesting im Rückblick Mobile AppTesting Matrix

3 Welche Möglichkeiten zum Testen von Apps gibt es? VERIFIZIEREN MOBILER APPS

4 Testmöglichkeiten mobiler Apps Sicherheit Funktionali tät Performan ce Benutzbar keit Robustheit

7#I0VGVD***** FailedLoginAttemptCount=0 FolderSyncKey=1 LastPINPromptTime=1421767231987

5 Praxisbeispiel: TouchDown... ASVersions=Versions:Microsoft-IIS/7.5 AccountID=Exchange Mail... Domain=#EFT1.7#I0VGVD***** FailedLoginAttemptCount=0 FolderSyncKey=1 LastPINPromptTime= LastPinChangeTime= LastPolicyGet=0... PasswordHistory= PasswordHistory=#EFT1.7#I0VG***** PasswordRecoveryEnabled=false PolicyKey=

6 Praxisbeispiel: Syncplicity <?xml version= 1.0 encoding= utf-8 standalone= yes?> <map>... <string name= passcode >ICPNS******</string > </map>

7 Schlussfolgerungen Vertrauen in die Marketing-Slides der Hersteller oft keine gute Idee wenn es um sensible Inhalte / Usecases geht Der Schutz sensibler Daten kann ohne Überprüfung nicht gewährleistet werden Einhalten von internen Policy-Vorgaben und Infrastruktur-richtlinien ist wichtig und für externe Tester nur schwer zu prüfen Organisationen und große Firmen müssen ihre Apps testen!

8 Welche Lösungen gibt es auf dem Markt und was leisten sie? POTENTIAL VERFÜGBARER APP-TESTING LÖSUNGEN

9 Übersicht über verfügbare Lösungen Plattfo rm Statisch / Dynami sch Priva cy Securit y Manuell / Automatisie rt DiOS ios --- automatisiert inalyzer ios dynamis ch () manuell ooo Snoop-it ios dynamis ch () manuell oo Cycript ios dynamis ch --- manuell ooooo MobileSandbox -NG Android --- automatisiert Androguard Android statisch manuell Drozer Android () DroidBox Android dynamis ch --- automatisiert oo CuckooDroid Android dynamis ch () automatisiert ooo AuditDroid Android --- oooo NowSecure Lab oooo Lösung Nötiges Wissen o oo oooo ooooo

10 Wie sieht unser Konzept als App Testing Lösung für Unterhmen aus? APPTESTING KONZEPT ALS UNTERNEHMENSLÖSUNG

11 Unser Lösungsansatz Simple Check In-Depth Check Assessment 90% automatisiert 10% manuell 50% automatisiert 50% manuell 20% automatisiert 80% manuell Privacy / Datenschutz Privacy / Datenschutz Schwachstellen im Code Schwachstellen im Design Privacy / Datenschutz Schwachstellen im Code Schwachstellen im Design Einfacher Report in Ampelfarben Ausführlicher Report mit Unterstützung für den Entwickler Ausführlicher Report mit Unterstützung für den Entwickler 1 Tag Aufwand Schnell und günstig Fokus auf Privacy und Datenschutz Kein Security-Testing 2-3 Tage Aufwand Deutlich mehr Details und Tests Security-Testing Detailierter Report der den Entwicklern beim Lernprozess hilft Aufwand nach Absprache tiefere und 5 Tage) (>Noch ausgereiftere Tests

12 Was sind die Resultate? EIN JAHR APPTESTING IM RÜCKBLICK

13 Ein Jahr AppTesting im Rückblick Rund 180 getestete Apps Über 340 kritische Schwachstellen aufgedeckt 9 Apps der Third-Party Apps für Benutzung im Unternehmen verboten 15 Apps der Third-Party Apps für Benutzung im Unternehmen eingeschränkt Rund ¾ der getesteten Apps mussten nachgebessert werden

14 Prozentualer Anteil der Schwachstellen in den getesteten Apps Insufficient Transport Layer Protection 10% 10% 38% Lack of Binary Protections Insecure Data Storage 19% Poor Authorization and Authentication 24% Other Issues

15 Kosten < - > Ergebnis MOBILE APPTESTING MATRI

16 Mobile AppTesting Matrix Kosten Wisse n vollautomatisier t teilautomatisier t manuell Zei t Anzahl erkannter Schwachstellen S B N D Z S a SPrivacy at u Code Design L c Fi e g k le n a u P a n p r bl g - o a s Fl t g s a e e c g ct h io u n tz manuell automatisi ( Auswirku ng K e Risiko y c h ai n

Vielen Dank für Ihre Aufmerksamkeit! Dr. Michael Spreitzenbarth Siemens CERT Email: michael.

17 Vielen Dank für Ihre Aufmerksamkeit! Dr. Michael Spreitzenbarth Siemens CERT m Jennifer Bombien Siemens CERT jenifer.bombien@siemens.com

Ähnliche Dokumente

Why Organisations should rely on Mobile AppTesting

Why Organisations should rely on Mobile AppTesting Dr. Michael Spreitzenbarth & Jennifer Bombien Siemens CERT Über mich Wifo-Studium an der Universität Mannheim mit Schwerpunkt IT-Sicherheit und Forensik