Why Organisations should rely on Mobile AppTesting

Ähnliche Dokumente
Why Organisations should rely on Mobile AppTesting

Smartphone-Schädlinge: Von Standard-Malware bis hin zum APT. Dr. Michael Spreitzenbarth Siemens CERT Hochschule Landshut Januar 2017

Was ist bei der Entwicklung sicherer Apps zu beachten?

Risiken für Unternehmen durch zunehmende Vernetzung und Digitalisierung. Dennis Schröder, M. Sc.

10 things I wished they d told me! Automate your mobile 10 instruktive Tipps zur Testautomation mobiler Endgeräte. 10 Tipps & Tricks zum Nachlesen

Verbundtests von Mobilgeräten und Backend-Systemen. Andreas Bartsch, exept Software AG

MOBILE ON POWER MACHEN SIE IHRE ANWENDUNGEN MOBIL?!

Dominik Helleberg inovex GmbH. Android-Enterprise- Integration

BYOD im Unternehmen Unterwegs zur sicheren Integration

Projekte. Beratung. Spezialisten. FAQs zur Technik. IKS-Thementag FAQs zur Technik 1 61

Inhaltsverzeichnis. Mobile Device Management 11 Vorwort und Einleitung 11

MOBILE ENTERPRISE APPLICATION PLATFORM (MEAP)

Geoportal Sachsenatlas. Sachsenatlas.mobil

MOBILE ENTERPRISE APPLICATION PLATFORM (MEAP)

Datensicherheit und Datenschutz von ehealth Apps

Information Security und Data Management in der Microsoft Cloud und in hybriden Umgebungen. Georg Bommer, Martin Hüsser

Effizientes Sicherheits-Management von Endbenutzergeräten

Katalogproduktion im Zeitalter des ipads

We test mobile apps and websites. We call that crowd testing. Mobile Strategie deutscher Unternehmen und Erfolgsfaktoren bei der App-Entwicklung

Sicherheitsbetrachtung von Android und dessen Apps. Dr. Michael Spreitzenbarth

Cross-Platform Mobile Development mit Xamarin Mark

am Beispiel - SQL Injection

The Dark Side of Android Applications OWASP The OWASP Foundation Michael Spreitzenbarth

HERAUSFORDERUNGEN an die Qualitätssicherung

Enterprise Mobility, Live! Pascal Kaufmann, Swisscom IT Services AG 12. Juni 2013

Mobile App Testing - Mit der richtigen Strategie zum Erfolg

Verschlüsselungsdienst für mobile Apps im Gesundheitswesen. 4. ehealth-kongress in Rhein-Main und Hessen

am Beispiel - SQL Injection

10 Schritte zum mobilen Konferenzplaner

Mit unserem QR-Code Test möchten wir Smartphone-Nutzern in ganz Deutschland bei diesem Auswahlprozess unterstützen.

Cybersicherheit in der Smart Factory

Agile UND nutzerorientierte Konzeption und Entwicklung mobiler Apps - ein Widerspruch?

Information Security und Data Management in der Microsoft Cloud und in hybriden Umgebungen. Georg Bommer, Martin Hüsser

CHECK POINT MOBILE THREAT PREVENTION

Testing Reality. Real users. Real devices. Real time.

Can Data Leakage Prevention Prevent Data Leakage?

Vielen Dank für die Einladung Anwendertreffen Senox 2017

Vielen Dank für Ihre Aufmerksamkeit!

Informationssicherheit an der RWTH

IBM System z für ISVs Case Study Mobile Business Apps: COMELEO by aformatik

ERSTELLUNG EINES KONZEPTS ZUM TESTEN DER PERFORMANCE VON JAVA CODE MIT HILFE DER FRAMEWORKS JUNIT UND TESTNG

Hochschule Darmstadt und Lufthansa ein Kooperationsprojekt LH BB Privacy App Quiz Lounge

ADF Mobile konkret Best Practices Live erklärt. Jan Ernst

Cnlab/CSI Herbsttagung Apps und Sandboxen

Cnlab/CSI Herbstveranstaltung Apps und Sandboxen

Insight Control Panel. Powerful simplicity designed by and for Users. Insight Mobile

Testing Reality. Real users. Real devices. Real time.

Symantec Mobile Computing

Mobile Endgeräte und Herausforderungen für den Selbstdatenschutz

it-sa 2015 Toolgestützte Prüfung des SAP Berechtigungskonzepts Autor: Sebastian Schreiber IBS Schreiber GmbH

Mobile Applications. Adrian Nägeli, CTO bitforge AG

Forms auf Tablets. Vision oder Realität?

Sicherheit mobiler Apps OWASP The OWASP Foundation Andreas Kurtz

Sichere Software. Vermeidung von Angriffspunkten bei der Software-Entwicklung. Andreas Vombach

Immer mehr lebt mobil

Client/Server Applikation mit Android BDA Zwischenpräsentation. Agenda. Einführung. Einführung. Planung & Vorgehen. Systemübersicht.

Effizenzsteigerung bei Villeroy & Boch durch den Einsatz von Magento und Zend

App-Prüfungen durch das BayLDA Erfahrungen und Überblick

Hendrik Pilz Director Technical Lab / Mobile Security hpilz@av-test.de. Mobile Security - Eine Marktübersicht

IBM Cognos Analtics. mayato Servceangebot zum Upgrade // ÖFFENTLICH

HTML5 Die neue Silver Bullet für die Verteilung technischer Information?

Informationsveranstaltung "Digitalisierung im KMU" Herzlich willkommen. Zusammen erfolgreich.

Digitales Gesundheitsmanagement. Bewegt Unternehmen und Partner. Wie ich mehr Zielgruppen erreiche und individuelle Lösungen schaffe

Agenda 2019 für Service Management: Integration mit Datenschutz macht den Unterschied

Eine App, viele Plattformen

Copyright by QualityMinds. Quelle:

WALL&KOLLEGEN RECHTSANWÄLTE AVVOCATI BARRISTER-AT-LAW MÜNCHEN INNSBRUCK BOZEN

Training Academy HESS GROUP TRANING ACADAMY

Datensicherheit. Vorlesung 7: Wintersemester 2017/2018 h_da. Heiko Weber, Lehrbeauftragter

wo werden die Daten besser geschützt?

Enterra Software GmbH Mobile Development

Kompetenzzentrum Digitales Handwerk

Checkliste App-Entwicklung

Agile Security Strategie

Automatisierung eines ISMS nach ISO mit RSA Archer

Jörg Neumann Acando GmbH

M DIE APP MUSS LAUFEN QUALITÄTSSICHERUNG FÜR IHRE APP. streng vertraulich, vertraulich, intern,

informatik ag IT mit klarer Linie S i e b e l O p e n U I

Entwicklung von effizienten UI-basierten Akzeptanztests für Webanwendungen

Erste Schritte mit Office365 Erster Aufruf mit Web-Browser

Der Trend zeigt in den letzten Jahren eine rasante Entwicklung im Bereich Mobility und Vernetzung, insbesondere bei Smartphones und Apps.

ÖSTERREICH RECHNET MIT UNS. Mobility-Partner BRZ Andreas Hejl, BRZ

Security of IoT. Generalversammlung 21. März 2017

Smart-Phone: Ein tragbares Risiko?

Sicherheit mobiler Apps. Andreas Kurtz

Schwachstellen vor den Hackern finden: Automatisierte Sicherheitstests von IT-Systemen

Mobile Lösungen für das Digitale Unternehmen

EINSATZMÖGLICHKEITEN VON NETZWERKZUGANGSKONTROLLE im Rahmen der Datenschutzgrundverordnung

ERIK HEYLAND Director Testing Lab CeBIT Effizienz im Test. Effizienz im Test 1. CeBIT 2014

Das IT Sicherheitsgesetz kritische Infrastrukturen im Zugzwang. - Made in Germany

Alpenstrasse 20, 3052 Zollikofen Tel , Fax

Projektmanagement und Softwareentwicklung. Nina Stodolka, WS2017/2018

Q-Event «Spice up your Test!»

M2M on wheels. M2M BOSCH. Existing Problems. Eclipse M2M Solution. BOSCH M2M Framework. Suggestion to Eclipse M2M.

Xamarin Applikationen Showcase aus der Praxis

Was heißt Digitalisierung für KMU in den Regionen? Gerhard Laga, WKÖ E-Center

Erfolg durch Wissen. Petershauser Straße 6, D Hohenkammer

Fujitsu CeBIT #CeBIT17. 0 Copyright 2017 FUJITSU

T-SYSTEMS MMS. OTRS Mandantenfähig das geht? Das Geht!

Transkript:

Why Organisations should rely on Mobile AppTesting Dr. Michael Spreitzenbarth & Jennifer Bombien Siemens CERT

Über mich Wifo-Studium an der Universität Mannheim mit Schwerpunkt IT-Sicherheit und Forensik PhD an der FAU mit Schwerpunkten in den Bereichen Forensik und Malware-Analyse auf Android Endgeräten und dessen Applikationen Teamleiter im Siemens CERT Schwerpunkte im Bereich Forensik, Incident Handling und AppTesting auf mobilen Plattformen (Android, BB10, ios und WP10)

Agenda Verifizieren und Testen mobiler Apps Potential verfügbarer App-Test Lösungen Vorstellung unseres AppTesting Konzepts Ein Jahr AppTesting im Rückblick Mobile AppTesting Matrix

Welche Möglichkeiten zum Testen von Apps gibt es? VERIFIZIEREN MOBILER APPS

Testmöglichkeiten mobiler Apps Sicherheit Funktionalität Benutzbarkeit Performance Robustheit

Schlussfolgerungen Vertrauen in die Marketing-Slides der Hersteller oft keine gute Idee wenn es um sensible Inhalte / Usecases geht Der Schutz sensibler Daten kann ohne Überprüfung nicht gewährleistet werden Einhalten von internen Policy-Vorgaben und Infrastrukturrichtlinien ist wichtig und für externe Tester nur schwer zu prüfen

Schlussfolgerungen Vertrauen in die Marketing-Slides der Hersteller oft keine gute Idee wenn es um sensible Inhalte / Usecases geht Der Schutz sensibler Daten kann ohne Überprüfung nicht gewährleistet werden Einhalten von internen Policy-Vorgaben und Infrastrukturrichtlinien ist wichtig und für externe Tester nur schwer zu prüfen à Organisationen und große Firmen müssen ihre Apps testen!

Welche Lösungen gibt es auf dem Markt und was leisten sie? POTENTIAL VERFÜGBARER APP- TESTING LÖSUNGEN

Übersicht über verfügbare Lösungen Lösung Plattform Statisch / Dynamisch Privacy Security Manuell / Automatisiert Nötiges Wissen DiOS ios beides X --- automatisiert o inalyzer ios dynamisch (X) X manuell ooo Snoop-it ios dynamisch (X) X manuell oo Cycript ios dynamisch --- X manuell ooooo MobileSandbox-NG Android beides X --- automatisiert oo Androguard Android statisch X X manuell oooo Drozer Android beides (X) X beides ooooo DroidBox Android dynamisch X --- automatisiert oo CuckooDroid Android dynamisch X (X) automatisiert ooo AuditDroid Android beides --- X beides oooo NowSecure Lab beides beides X X beides oooo Introspy beides dynamisch (X) X manuell ooo Und noch einige (~100) mehr...

Wie sieht unser Konzept als App Testing Lösung für Unterhmen aus? APPTESTING KONZEPT ALS UNTERNEHMENSLÖSUNG

Unser Lösungsansatz

Unser Lösungsansatz Simple Check 90% automatisiert 10% manuell Privacy / Datenschutz Einfacher Report in Ampelfarben 1 Tag Aufwand Schnell und günstig Fokus auf Privacy und Datenschutz Kein Security-Testing X

Unser Lösungsansatz Simple Check 90% automatisiert 10% manuell Privacy / Datenschutz Einfacher Report in Ampelfarben 1 Tag Aufwand Schnell und günstig Fokus auf Privacy und Datenschutz Kein Security-Testing X In-Depth Check 50% automatisiert 50% manuell Privacy / Datenschutz Schwachstellen im Code Schwachstellen im Design Ausführlicher Report mit Unterstützung für den Entwickler 2-3 Tage Aufwand Deutlich mehr Details und Tests Security-Testing Detailierter Report der den Entwicklern beim Lernprozess hilft

Unser Lösungsansatz Simple Check 90% automatisiert 10% manuell In-Depth Check 50% automatisiert 50% manuell Assessment 20% automatisiert 80% manuell Privacy / Datenschutz Privacy / Datenschutz Schwachstellen im Code Schwachstellen im Design Privacy / Datenschutz Schwachstellen im Code Schwachstellen im Design Einfacher Report in Ampelfarben Ausführlicher Report mit Unterstützung für den Entwickler Ausführlicher Report mit Unterstützung für den Entwickler 1 Tag Aufwand Schnell und günstig Fokus auf Privacy und Datenschutz Kein Security-Testing X 2-3 Tage Aufwand Deutlich mehr Details und Tests Security-Testing Detailierter Report der den Entwicklern beim Lernprozess hilft Aufwand nach Absprache (>5 Tage) Noch tiefere und ausgereiftere Tests

Was sind die Resultate? EIN JAHR APPTESTING IM RÜCKBLICK

Ein Jahr AppTesting im Rückblick 110 83 Rund 220 getestete Apps Über 400 kritische Schwachstellen aufgedeckt 55 28 12 Apps der Third-Party Apps für Benutzung im Unternehmen verboten 0 Third-Party Apps Own Apps 24 Apps der Third-Party Apps für Benutzung im Unternehmen eingeschränkt Rund ¾ der getesteten Apps mussten nachgebessert werden

Prozentualer Anteil der Schwachstellen in den getesteten Apps 0,3 0,2 0,7 Insufficient Transport Layer Proteclon Lack of Binary Proteclons Insecure Data Storage Poor Authorizalon and Authenlcalon Other Issues 0,5 0,5

Kosten < - > Ergebnis MOBILE APPTESTING MATRIX

Mobile AppTesting Matrix vollautomatisiert teilautomatisiert Kosten Anzahl erkannter Schwachstellen Auswirkung Wissen Zeit Code Design Privacy Risiko manuell

Mobile AppTesting Matrix vollautomatisiert teilautomatisiert Kosten Anzahl erkannter Schwachstellen Auswirkung Wissen Zeit Code Design Privacy Risiko manuell SSL Backup- Flag NSFile Protection Datenablage Zugangs - schutz Keychain manuell X X X automatisiert X X (X) X

Vielen Dank für Ihre Aufmerksamkeit! Dr. Michael Spreitzenbarth Siemens CERT Email: michael.spreitzenbarth@siemens.com Jennifer Bombien Siemens CERT Email: jennifer.bombien@siemens.com

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback