Application Security Audit SIMSme Business Testreport

Ähnliche Dokumente
Application Security Audit SIMSme Business Testreport

Prüfspezifikation. Sitz und Registergericht: Hannover HRB USt.-ID Nr. DE Vertretungsberechtigter Geschäftsführer: Sebastian Wolters

Reise-Apps im Security-Check

TRUSTED APP Der Weg zur sicheren App

SICHERES WHATSAPP FÜR UNTERNEHMEN

Datenschutzerklärung (Mai 2018)

Datenschutzerklärung für die Nutzung von Google Analytics

Apple ios- Starter- Broschüre

Alles im Griff mit der Mitarbeiter-APP

Hauptfunktionen der Teamwire-App

EIBPORT 3 VPN SSL Nutzung mit OpenVPN-Client

Hauptfunktionen der Teamwire-App

mediatest digital DuD 2014

TiMaS. App einrichten

Datenschutzerklärung 1. Datenschutz auf einen Blick

SICHERES ENTERPRISE MESSAGING

Technische Erläuterungen zum Betrieb Ihrer TOHA-Webseite

FEUERWEHR Kirchberg i. Wald

SIMSme Business in der Praxis

VPN-Zugang mit Cisco AnyConnect. Installation und Verwendung

Sie möchten als Hochschulangehöriger das Internet sowie spezielle Angebote der Fachhochschule Köln nutzen?

1. Allgemein. Verschlüsselte für IPhone IOS Geräte Schritt für Schritt Anleitung

Quickline Cloud Apps

Einbindung von Diensten und Inhalten Dritter

Datenschutzerklärung digipen technologies GmbH ein Unternehmen der EITCO

Datenschutzerklärung digipen technologies GmbH

AirWatch Support-Dokumentation

Ein Dienst für Hochschulen und Forschungsinstitutionen zum einfachen Synchronisieren und Teilen von Dokumenten

SAMS App: Die Volleyball Vereins-App

1. Allgemein. Verschlüsselte für Android Smartphone Schritt für Schritt Anleitung

1. Einleitung Vorgehensweise Dropbox - Dropbox herunterladen Einstellungen P.A.P.A... 4

MatchWare Datenschutzrichtlinie

Datenschutzerklärung Phicomm Smart Scale S7. Inhalt. (1) Einleitung

Einrichtung der EiMSIG Remote App für ios

Versionen des Dokuments. Inhaltsverzeichnis: Erstelldatum Version

Datenschutzerklärung. 1. Datenschutz auf einen Blick. Allgemeine Hinweise. Datenerfassung auf unserer Website

Cookie Policy APP (Stand )

Umgang mit mobilen IT Geräten

Mitarbeiterkommunikation

2. Bereits registrierte Geräte in Afaria

agree21doksharing Release V4.4 - LTS - Neuerungen

Sharpdesk Mobile Bedienungshandbuch

MARMIND. Datenschutzbestimmungen

Wer ist verantwortlich für die Datenerfassung auf dieser Website?

Support für urgy - Fire

Mobile UI für ios und Android. SIMATIC WinCC Open Architecture

Kurzanleitung P1Connect

Quick-Start Guide ios

Erste Schritte mit Office365 Erster Aufruf mit Web-Browser

Der Trend zeigt in den letzten Jahren eine rasante Entwicklung im Bereich Mobility und Vernetzung, insbesondere bei Smartphones und Apps.

Quickline Cloud Apps

Datenschutzerklärung. 1. Datenschutz auf einen Blick. 2. Allgemeine Hinweise und Pflichtinformationen. Allgemeine Hinweise

Wer ist verantwortlich für die Datenerfassung auf dieser Website?

Releasenotes Tourenangebot v1.14

Datenschutzerklärung gemäß EU-DSGVO

MobileIron Support Dokumentation

SIMSme Management Cockpit Dokumentation

MobileIron Support-Dokumentation

Datenschutzerklärung (Mai 2018)

Quick-Start Guide Android

Datenschutzrechtliche Einwilligungserklärung

Was ist eigentlich ein Google Konto?

Anleitungen Fotos Clouds Tablet Smartphone

Die Datenverarbeitung auf dieser Website erfolgt durch den Websitebetreiber. Dessen Kontaktdaten können Sie dem Impressum dieser Website entnehmen.

Bedienungsanleitung für das MEEM-Netzwerk

BlackBerry Dynamics einrichten - Android

1. Datenschutz auf einen Blick

Unerhört sicher! Schutz mobiler Business Apps bei maximaler Userfreiheit!

DER BUSINESS MESSENGER FÜR IHR UNTERNEHMEN

ANLEITUNG. Mobil-App zum Gewinnen und Verwalten neuer Nu Skin Kontakte

stashcat Der sichere Messenger für die datenschutzkonforme Kommunikation der Feuerwehr

Technisch-organisatorische Maßnahmen zur Umsetzung der Sicherheits- und Schutzanforderungen des BDSG bei Papershift

Datenschutzerklärung. Revisionsstand 05/2018. Seite 1/5

Der SIMSme Business App Messenger für ios und Android

Anleitung für Lehrkräfte. EasyGrade

4 Mythen über sicheren Datenaustausch via und Co. und. auf welche Herausforderungen Sie in Zukunft vorbereitet sein sollten!

Themenpunkte. Überblick Installation der VR-SecureGO App Funktionsweise Sicherheitsmerkmale

KOCH-App (Version 2.0, ab ios 8.0)

Datenschutzerklärung. 1. Datenschutz auf einen Blick. Allgemeine Hinweise. Datenerfassung auf unserer Website

Insite Gold Version Installationsanleitung (QR Code)

1. Datenschutz auf einen Blick. Die folgenden Hinweise geben einen einfachen Überblick darüber, was mit Ihren personenbezogenen

Datenschutzerklärung. Serverstandort und Firmensitz. Cookies

DATENSCHUTZERKLÄRUNG FÜR SWISSMECHANIC LIBRARY APP Version V01

Datenschutz in sozialen Netzwerken: So surfen Sie privat und schützen Ihre Daten. Wolf-Dieter Scheid

Smartphone für Kinder!? VHS- VERANSTALT UNG A M 1 6. MAI 20 17

ANLEITUNG SICHERE S MIT INCAMAIL EMPFANGEN

SIMSme Management Cockpit Dokumentation

Quick Start Guide Online Portal ADDISON OneClick

Datenschutzerklärung

Vorwort zum Synchronisieren

Wer ist verantwortlich für die Datenerfassung auf dieser Website?

Datenschutzerklärung (Stand Mai 2018)

Datenschutz in sozialen Netzwerken: Wolf-Dieter Scheid. So surfen Sie privat und schützen Ihre Daten

Datenschutzerklärung Apps

MOBILE ENTERPRISE APPLICATION PLATFORM (MEAP)

So leicht ist Mobile Printing im ios-umfeld

Sichere App-Alternativen zu WhatsApp und Co.

Transkript:

Application Security Audit SIMSme Business Testreport mediatest digital GmbH Goseriede 4 30159 Hannover T +49 (0) 511-353994-22 F +49 (0) 511-353994-12 W www.mediatest-digital.com Einstufung interne Nutzung Datum 24.04.2018 Kunde Deutsche Post AG Sitz und Registergericht: Hannover HRB 208916 USt.-ID Nr. DE284516422 Board of Directors: Vertretungsberechtigter Gesellschafter: Sebastian Wolters 2018 mediatest digital GmbH, Revision 1.4.1

Inhaltsverzeichnis 1 Übersicht...3 1.1 Testergebnis...3 1.2 App-Informationen...4 1.3 Berechtigungen...5 1.4 Zusätzliche Funktionalitäten...5 1.4.1 In-App-Käufe...5 1.4.2 Externe Cloud-Dienste...6 1.4.3 Externe Login-Dienste...6 1.4.4 Social Network Sharing...6 1.4.5 Verwendung Webviews...6 2 Sicherheitsmatrix...7 3 Testergebnisse...9 3.1 Test Setup...9 3.2 Drittanbieter-Module und -Bibliotheken...9 3.4 Virenanalyse...9 3.5 Berechtigungsanalyse...10 3.6 Risikobewertung...11 3.6.1 Datenschutzverstöße...11 3.6.2 Datensicherheitsverstöße...11 3.7 AGB und Datenschutzerklärung...11 4 Verbindungsanalyse...12 4.1 Verschlüsselt übertragene Datenfunde...12 4.2 Unverschlüsselt übertragene Datenfunde...12 4.3 Analyse Serververbindungen...12 4.4 Analyse Datenverkehr...13 4.5 Auszug Datenübertragungsprotokoll...13...14 5 Anhang...14 2018 mediatest digital GmbH Application Security Audit 24.04.2018 interne Nutzung 2

1 Übersicht 1.1 Testergebnis SIMSme Business 2.2 ios App Icon 3x3 cm Ampelwertung Whitelist: nutzbar Whitelist: nutzbar mit Hinweis Blacklist: Nutzung bedenklich, individuelle Freigabe möglich Blacklist: von der Nutzung wird abgeraten Datenschutzverstöße Keine Datenschutzverstöße festgestellt Einstufung unbedenklich Datensicherheitsverstöße Keine Datensicherheitsverstöße festgestellt Einstufung unbedenklich AGB und Datenschutzerklärung Die Prüfung der AGB und der Datenschutzerklärung steht noch aus Einstufung nicht verfügbar SSL Analyse Man-in-the-Middle-Attacke nicht möglich Einstufung unbedenklich Die Applikation SIMSme Business (ios) in der Version 2.2 erzielt eine grüne Wertung und wird als nutzbar (Whitelist) eingestuft. Es wurden keine Datenschutzverstöße festgestellt. Es wurden keine Datensicherheitsverstöße festgestellt. Eine Überprüfung der AGB und Datenschutzerklärung wurde nicht vorgenommen. 2018 mediatest digital GmbH Application Security Audit 24.04.2018 interne Nutzung 3

1.2 App-Informationen Hersteller Name Betriebssystem DP IT Brief GmbH SIMSme Business ios Version 2.2 Erscheinungsdatum 16.4.2018 BundleIdentifier releaseba.de.dpag.simsme Benötigte OS-Version ios 9.0 Store-Link Store-Kategorie Beschreibung https://itunes.apple.com/de/app/id1125705539?mt=8 Soziale Netze SIMSme Business ist der Messenger für Unternehmen entwickelt von der Deutschen Post. Schreiben Sie dank Ende-zu-Ende-Verschlüsselung absolut sicher und beschleunigen Sie die Kommunikation im Team. Statt mit langsamen und unübersichtlichen Email-Fluten kommunizieren ihre Mitarbeiter zukünftig schnell und direkt egal, ob sie im Büro, im Home Office oder im Außendienst sind. Konfigurierbare Features stellen die Kompatibilität mit Ihren Security- Anforderungen sicher. Jeder Datenstrom fließt dabei über deutsche Server. SIMSme Business ist konform mit deutschen Datenschutzgesetzen und erfüllt die Anforderungen der EU Datenschutz-Grundverordnung. FUNKTIONEN Schneller Austausch im Team Einzel- und Gruppenchats, Kanäle und Verteiler Einfaches Teilen von Inhalten Video- und Audionachrichten, Fotos und Dateien Effizientes Arbeiten mit Kollegen Kommentieren, priorisieren und zeitversetzt versenden Auf allen Geräten verfügbar Ob Computer, Tablet oder Smartphone Immer synchron Chats, Kontakte und Medien synchronisieren in Echtzeit Intuitives Nutzermanagement Komfortable Administration über das Management Cockpit SICHERHEIT und DATENSCHUTZ Erstklassige Ende-zu-Ende-Verschlüsselung der Deutschen Post Server in Deutschland und Bundesdatenschutzkonform Klare Trennung von beruflicher und privater Kommunikation MANAGEMENT COCKPIT Nutzer- und Lizenzverwaltung mit Reporting Dashboard 2018 mediatest digital GmbH Application Security Audit 24.04.2018 interne Nutzung 4

Eigene Kanäle bis 1.000 Nutzer und verwaltete Gruppen Eigenes App Design mit anpassbaren Farben und Logo Steuerbare Security-Einstellungen z.b. Passwortstärke Laden Sie SIMSme Business jetzt herunter und überzeugen Sie sich selbst! Mehr zu den Vorteilen und Features erfahren Sie unter: www.sims.me/business SIMSme Business wurde von mediatest digital in Kooperation mit TÜViT mit dem Trusted App -Siegel für extrem sichere Apps ausgezeichnet und wird von der Polizei Niedersachen empfohlen. Durch Ende-zu-Ende- Verschlüsselung kann niemand Ihre Nachrichten mitlesen. Sie haben Fragen, Anregungen oder wollen die App Unternehmen verwenden? Dann schreiben Sie uns unter: business@sims.me HINWEIS FÜR PRIVATE NUTZER: SIMSme Business ist für Unternehmen und Organisationen konzipiert. Als Privatperson nutzen Sie bitte die SIMSme App. 1.3 Berechtigungen Die folgenden Berechtigungen werden während der Nutzung durch die Applikation angefordert und müssen durch den Nutzer bestätigt werden, um die Applikation in vollem Funktionsumfang nutzen zu können. Ortungsdienste Push-Mitteilungen Fotos Kontakte Mikrofon Kamera 1.4 Zusätzliche Funktionalitäten Mobile Applikationen können über Drittanbieter erweiterte Funktionalitäten bieten. Dabei umfasst die Bandbreite neben In-App-Käufen zur Funktionserweiterung oder Entfernung von Werbung auch die externe Speicherung von Nutzerdaten in Cloud-Speicherdiensten, das Teilen von Meldungen über soziale Netzwerke oder die Registrierung eines Nutzeraccounts über ein bereits bestehendes Profil eines sozialen Netzwerks. 1.4.1 In-App-Käufe In der Applikation sind In-App-Käufe nicht möglich. 2018 mediatest digital GmbH Application Security Audit 24.04.2018 interne Nutzung 5

1.4.2 Externe Cloud-Dienste Die Applikation ermöglicht das Speichern von Daten über externe Cloud-Dienste. icloud Cloud-Dienst von Apple Inc. 1.4.3 Externe Login-Dienste Die Applikation ermöglicht keinen verkürzten Registrierungs- und Loginprozess über externe Login-Dienste. 1.4.4 Social Network Sharing Die App ermöglicht kein Sharing von Inhalten und Nutzerkommentaren über soziale Netzwerke. 1.4.5 Verwendung Webviews Die Applikation verwendet keine Webviews mit Möglichkeiten, den für den Benutzer vorgesehenen Bereich in der Applikation über externe Links innerhalb des Webviews zu verlassen. 2018 mediatest digital GmbH Application Security Audit 24.04.2018 interne Nutzung 6

2 Sicherheitsmatrix In der Sicherheitsmatrix wird detailliert aufgeschlüsselt, welche Datenfunde zu welcher Sicherheitseinstufung führen. Dabei wird nach Übertragungsart und Notwendigkeit der Datenübertragung für die Funktionalität der Applikation sortiert. Die Einsortierung der übertragenen Daten wird wie folgt untergliedert. keine Übertragung notwendig, verschlüsselt notwendig, unverschlüsselt nicht notwendig, verschlüsselt nicht notwendig, unverschlüsselt Die Übertragung des Datums gehört zwar zur Funktionalität der Applikation, konnte jedoch in der Datenübertragung nicht nachgewiesen werden. Die Übertragung des Datums gehört zur Kernfunktionalität der Applikation. Die Übertragung erfolgt verschlüsselt. Die Übertragung des Datums gehört zur Kernfunktionalität der Applikation. Die Übertragung erfolgt unverschlüsselt. Die Übertragung des Datums gehört nicht zur Kernfunktionalität der Applikation. Die Übertragung erfolgt verschlüsselt. Die Übertragung des Datums gehört nicht zur Kernfunktionalität der Applikation. Die Übertragung erfolgt unverschlüsselt. Die Kombination aus übertragenem Datum, Notwendigkeit der Übertragung für die Funktionalität der Applikation und der Art der Übertragung resultiert in einer Einstufung. Diese führen in ihrer Gesamtheit zu einer abschließenden Wertung, die wie folgt untergliedert wird. Wertung GRÜN Die Nutzung der Applikation ist im Unternehmensumfeld empfohlen. Wertung GELB Wertung ROT Die Nutzung der Applikation ist im Unternehmensumfeld eingeschränkt empfohlen. Abhängig von unternehmensweit geltenden Sicherheitsvorschriften muss die Nutzung eingeschränkt werden. Die Nutzung der Applikation ist bedenklich, da sensible Daten unverschlüsselt oder an Dritte übertragen werden. Eine Nutzung wird insbesondere im Unternehmensumfeld nicht empfohlen. Wertung SCHWARZ Die Nutzung der Applikation ist sehr bedenklich, da Passwörter, Bankdaten oder sensible Daten unverschlüsselt oder an Dritte übertragen werden. Von der Nutzung wird dringend abgeraten! Kommuniziert die Applikation nur über festgelegte Zertifikate (Certificate Pinning), können auf Basis des Übertragungsverhaltens der Applikation häufig nur eingeschränkte Aussagen über Datenschutz getroffen werden. In diesem Fall wird eine Handlungsempfehlung abgegeben, die auf den im Testlauf aufgezeichneten Verbindungen und den eingebundenen Modulen und Bibliotheken von Drittanbietern beruht. 2018 mediatest digital GmbH Application Security Audit 24.04.2018 interne Nutzung 7

Keine Übertragungfestgestellt notwendige Übertragung, verschlüsselt notwendige Übertragung, unverschlüsselt nicht notwendige Übertragung, verschlüsselt nicht notwendige Übertragung, unverschlüsselt Virenanalyse AGB und Datenschutz SSL analysierbar? JA NEIN Resultierende Wertung 2018 mediatest digital GmbH Application Security Audit 24.04.2018 interne Nutzung 8

3 Testergebnisse In diesem Kapitel sind die Ergebnisse des Application Security Audits zusammengefasst. Das zugrunde liegende Testverfahren kann in der aktuell gültigen mediatest digital Prüfspezifikation [separate Anlage] nachgelesen werden. Getestet wurde im Testlabor der mediatest digital GmbH. Das Testverfahren beinhaltet keine Aussagen über Funktionalität und Design sowie Performance und Stabilität der getesteten Applikation. Aussagen über Sicherheitslücken in angeschlossenen Backend- Systemen können lediglich in geringem Umfang getroffen werden. Die vollständige technische Dokumentation kann im Kapitel 4 eingesehen werden. Dort finden sich ausführliche Informationen über Datenverbindungen und Datentransfer. 3.1 Test Setup Der Testdurchlauf wurde im Testlabor der mediatest digital GmbH durch einen Application Security Analyst durchgeführt. Getestet wurde auf einem physikalischen Testgerät. Grundsätzlich ist sowohl ein hoher Verbreitungsgrad des Testgerätes ebenso gegeben wie die Verwendung einer aktuellen Version des Betriebssystems. Testdatum 18.04.2018 Testgerät iphone 6 ( ios 10.2) Testumgebung mediatest digital Testlabor Prüfspezifikation mediatest digital Prüfspezifikation rev. 1.3 3.2 Drittanbieter-Module und -Bibliotheken Während des Testlaufs wurde die Applikation hinsichtlich eingebundenen Modulen und Bibliotheken von Drittanbietern untersucht. Diese Module bieten erweiterte Funktionalitäten (z.b. durch die Bereitstellung von Kartenmaterial), erlauben die Auslieferung von Werbung oder erheben Nutzerstatistiken. Die Untersuchung des von der Applikation erzeugten Datenverkehrs während des Testlaufs sowie einer statischen Analyse zeigt die Einbindung folgender externer Dienste. Modul Kategorie Beschreibung Serverstandort Apple Maps Kartendienst Kartendienst von Apple. Unternehmen: Apple Inc. USA icloud Cloud-Dienst Cloud-Dienst zur Speicherung von Daten. Unternehmen: Apple Inc. USA 3.4 Virenanalyse Aufgrund der Dateistruktur einer ios-applikation wurde keine Virenanalyse vorgenommen, da so keine zuverlässigen Ergebnisse garantiert werden können. 2018 mediatest digital GmbH Application Security Audit 24.04.2018 interne Nutzung 9

3.5 Berechtigungsanalyse Die Berechtigungsanalyse basiert auf einer statischen Analyse während des Testlaufs. Aufgerufene Berechtigungen werden soweit möglich dynamisch durch einen Application Security Analyst verifiziert. Schlägt eine manuelle Verifizierung fehl, wird die Berechtigung als potenziell genutzt eingestuft. Berechtigungen werden in mehrere Schweregrade eingestuft, die sich am Zugriff der Applikation auf Nutzerdaten orientieren: system riskant normal selbst erstellt Höchstes Risiko. Die Applikation muss mit dem identischen Zertifikat signiert sein wie die Applikationen auf Betriebssystemebene. Bei Aufruf der Berechtigung durch die Applikation wird der Nutzer nicht nach seiner Zustimmung gefragt. Hohes Risiko. Die Applikation erhält Zugriff auf Nutzerdaten oder weitreichende Funktionalitäten des Betriebssystems. Bei Aufruf der Berechtigung durch die Applikation wird der Nutzer nach seiner Zustimmung gefragt. Niedriges Risiko. Die Applikation erhält isolierten Zugriff auf Applikationsebene und kann nicht auf Nutzerdaten oder weitreichende Funktionalitäten des Betriebssystems zugreifen. Bei Aufruf der Berechtigung durch die Applikation wird der Nutzer nach seiner Zustimmung gefragt. Durch den Entwickler selbst erstellte Berechtigung. Diese dient der Funktionalität der Applikation und erlaubt keinen Zugriff auf Nutzerdaten oder weitreichende Funktionalitäten des Betriebssystems. Die Applikation fordert die folgenden Berechtigungen an. Berechtigung Beschreibung Einstufung Nutzung Ortungsdaten Die Applikation erhält Zugriff auf die Ortungsdienste des Gerätes riskant Ja Push-Mitteilungen Ermöglicht der Applikation das Senden von Push- Mitteilungen normal Ja Fotos Die Applikation erhält Zugriff auf die Fotoalben des Gerätes riskant Ja Kontakte Die Applikation erhält Zugriff auf die Kontaktdaten des Gerätes riskant Ja Mikrofon Die Applikation erhält Zugriff auf das Mikrofon des Gerätes riskant Ja Kamera Die Applikation erhält Zugriff auf die Kamera des Gerätes riskant Ja 2018 mediatest digital GmbH Application Security Audit 24.04.2018 interne Nutzung 10

Die Berechtigungsanalyse zeigt die Verwendung von 6 Berechtigungen, die zur Verwendung aller Funktionen der Applikation benötigt werden. Die Applikation ruft nur die Berechtigungen ab, die für den Funktionsumfang nötig sind. Die Applikation wird als nicht überprivilegiert eingestuft. 3.6 Risikobewertung Anhand des aufgezeichneten Datenverkehrs während des Testlaufs sowie auf Basis einer statischen Analyse werden Sicherheitslücken und damit potentielle Risiken überprüft, die mit der Nutzung der Applikation einhergehen können. Die Auswertung des Testlaufs erfolgt halb-automatisiert und wird durch einen Application Security Analyst vorgenommen. Im Zuge einer Kernfunktionalitäts- und Plausibilitätsprüfung wurde dabei besonderen Wert auf Datenübermittlungen und Berechtigungen gelegt, die zur Ausführung der primären Funktionen der Applikation nicht unbedingt notwendig sind oder für den Nutzer keinen Mehrwert bieten. Weiterführende Details zu während des Testlaufs festgestellten Datenschutz- und Datensicherheitsverstößen werden im Kapitel 4 in der Datenübertragungsanalyse aufgelistet. Die Handlungsempfehlungen bieten für den Entwickler der Applikation eine erste Hilfestellung, das identifizierte Problem zu beheben. 3.6.1 Datenschutzverstöße In diesem Unterkapitel werden die Datenschutzverstöße aufgelistet und eine Handlungsempfehlung abgegeben. Als Datenschutzverstoß wird die Übertragung eines personenbezogenen 1 oder anderweitig sensiblen Datums an Dritte definiert. Keine Datenschutzverstöße festgestellt. Handlungsempfehlung Keine Handlung nötig 3.6.2 Datensicherheitsverstöße In diesem Unterkapitel werden die Datensicherheitsverstöße aufgelistet und eine Handlungsempfehlung abgegeben. Als Datensicherheitsverstoß wird die Übertragung von Daten über eine unverschlüsselte Verbindung definiert. Keine Datensicherheitsverstöße festgestellt Handlungsempfehlung Keine Handlung nötig HINWEIS: Man-in-the-Middle-Attacke nicht erfolgreich Handlungsempfehlung Keine Handlung nötig 3.7 AGB und Datenschutzerklärung Es wurde keine Prüfung der AGB und Datenschutzerklärung vorgenommen. 1 Personenbezogene Daten werden definiert nach 3 Abs. 1 BDSG. 2018 mediatest digital GmbH Application Security Audit 24.04.2018 interne Nutzung 11

4 Verbindungsanalyse In diesem Kapitel werden ausführliche Informationen über die während des Testlaufs aufgezeichneten Datenübertragungen bereitgestellt. 4.1 Verschlüsselt übertragene Datenfunde Während des Testlaufs konnte die Übertragung folgender Daten über verschlüsselte Verbindungen nachvollzogen werden. Keine Funde - 4.2 Unverschlüsselt übertragene Datenfunde Während des Testlaufs konnte keine Übertragung Daten über unverschlüsselte Verbindungen nachvollzogen werden. Hinweis: Grundsätzlich wird empfohlen, die Kommunikation zwischen Applikation und Servern ausschließlich über verschlüsselte Verbindungen vorzunehmen! 4.3 Analyse Serververbindungen In diesem Unterkapitel werden die Server aufgelistet, zu denen die Applikation während des Testlaufs Verbindungen aufgebaut hat. Nr. Servername IP-Adresse Port Land Betreiber V1 *.docwallet-de.de 195.21.38.51 443 DE Deutsche Post AG V2 *.ls.apple.com 17.167.195.10 443 US Apple Maps V3 *.ls.apple.com 17.130.137.79 443 US Apple Maps V4 *.ls.apple.com 17.167.192.176 443 US Apple Maps V5 *.ls.apple.com 17.130.137.73 443 US Apple Maps V6 *.ls.apple.com 17.167.192.126 443 US Apple Maps V7 *.ls.apple.com 17.130.137.75 443 US Apple Maps V8 *.ls.apple.com 17.130.137.77 443 US Apple Maps V9 *.ls.apple.com 17.167.192.244 443 US Apple Maps V10 *.ls.apple.com 17.167.193.162 443 US Apple Maps V11 *.ls.apple.com 17.167.195.12 443 US Apple Maps V12 *.ls.apple.com 17.167.195.9 443 US Apple Maps V13 a104-81-32-175.deploy.static.akamaitechnologies.com 104.81.32.175 443 US Apple V14 a104-81-33-104.81.33.197 443 US Apple 2018 mediatest digital GmbH Application Security Audit 24.04.2018 interne Nutzung 12

V15 V16 197.deploy.static.akamaitechnologies.com a104-87-196-27.deploy.static.akamaitechnologies.com a104-87-216-231.deploy.static.akamaitechnologies.com 104.87.196.27 443 NL Apple 104.87.216.231 443 NL Apple V17 a248.e.akamai.net 2.22.61.10 80 EU Apple Maps V18 a248.e.akamai.net 2.22.61.81 80 EU Apple Maps V19 courier.push.apple.com 17.252.76.22 443 US Apple Push V20 courier.push.apple.com 17.252.44.28 443 US Apple Push V21 courier.push.apple.com 17.252.44.24 443 US Apple Push V22 courier.push.apple.com 17.252.44.30 443 US Apple Push V23 courier.push.apple.com 17.252.76.29 443 US Apple Push V24 courier.push.apple.com 17.252.44.27 443 US Apple Push V25 app.adjust.com 178.162.216.180 443 DE Adjust V26 www.digicert.com 93.184.220.29 80 US Digicert V27 ituneslogin.net 17.172.224.35 80 US itunes 4.4 Analyse Datenverkehr In diesem Unterkapitel werden die Datenpakete aufgeschlüsselt, die während des Testlaufes von der Applikation an Server und umgekehrt versendet wurden. Der Wert der Übertragung wird ebenfalls in der Sicherheitsmatrix dargestellt. Fund Richtung Krypto IP Port Dienstanbieter Nötig Wert Keine Funde - - - - - - 4.5 Auszug Datenübertragungsprotokoll P1 Keine Funde - - - 2018 mediatest digital GmbH Application Security Audit 24.04.2018 interne Nutzung 13

5 Anhang Kein Anhang vorhanden. 2018 mediatest digital GmbH Application Security Audit 24.04.2018 interne Nutzung 14

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback