Mobil alkalmazások biztonsági vizsgálata



Forrás: StatCounter Global Stats - OS Market Share

Mobil operációs rendszerek megoszlása


A 2013-as évben a StatCounter adatai szerint adatai szerint Európában az Android, a mobil operációs rendszereknek a 47%-át, az iOS pedig 37%-át tette ki.

Vállaljuk az Apple iPad, iPhone, iPod Touch mobil eszközökön futó iOS és az Android alkalmazások biztonsági átvizsgálását.

A vizsgált alkalmazáson betörés tesztet végzünk etikus hack módszerekkel. A vizsgálat objektív módon feltárja az alkalmazás biztonsági hibáit, hiányosságait. A vizsgálat során felfedett súlyos/kritikus sérülékenységeket azonnal a megrendelő tudomására hozzuk és egyben konkrét megoldási javaslatot teszünk azok kijavítására. Miután a megrendelő elvégezte a javítást, egy ismételt ellenőrző vizsgálatot végzünk. Amennyiben az ellenőrzés igazolja, hogy a súlyos/kritikus sérülékenységek kijavításra kerültek, kiállítjuk a megfelelőséget igazoló oklevelet.

Az internetező felhasználók szokásaik és igényeik jelentős ütemben változnak. Az asztali számítógépeket egyre gyorsabban váltják le a táblagépek és az okostelefonok. Böngészésre, ügyintézésre, kapcsolattartásra a legtöbben már szívesebben használják táblagépeiken és telefonjaikon futó kedvenc alkalmazásaikat. A rajtuk futó alkalmazásokba vetett bizalom pedig maximális.

Egy biztonságosnak hitt kiszolgáló is támadható lehet, és érzékeny adatokhoz juthat hozzá a támadó, amennyiben a mobil alkalmazás ehhez kihasználható sérülékenységet tartalmaz.


Mint, ahogy a felhasználók figyelme is a mobil világ felé összpontosul, ezzel párhuzamosan a számítógépes bűnözők is a mobil alkalmazásokat szemelik ki új célpontként. Emiatt az Internet alapú alkalmazásokat működtető cégek nem érezhetik biztonságban magukat. A táblagépeken és okostelefonokon futó alkalmazások biztonsági vizsgálata elengedhetetlenné vált.

Hogyan végezzük a tesztelést?

Az iOS és Android mobil alkalmazások betörés tesztelését - többek között - az alábbi szempontok szerint végezzük, figyelembe véve az OWASP Mobile Top 10 ajánlásait:
  •     az eszközön eltárolt érzékeny adatok ellenőrzése
  •     kliens-szerver közti kommunikáció vizsgálata
  •     alkalmazás-szerveren futó szolgáltatások biztonsági vizsgálata
  •     szerver, és kliens-oldali kód becskendezés tesztelése
  •     felhasználói hitelesítés és engedélykörök megfelelősége
  •     biztonságos munkamenet-kezelés meglétének ellenőrzése
  •     bemeneti mezők validációjának ellenőrzése
  •     nem megfelelő szintű titkosítás felderítése
  •     információ szivárogtatás ellenőrzése
A tesztelést kézzel végezzük, melyekhez automatikus eszközöket is igénybe veszünk.

Mit kap a megrendelő?

A feltárt sérülékenységeket részletes jelentésben összegezzük és értékeljük, melyhez mellékeljük a hiba kihasználása során készített igazoló eredményeket is. Továbbá a sérülékenységek javításához megoldási javaslatokat kínálunk. A hibák javítását követően egy ellenőrző vizsgálatra kerül sor, melynek sikeres eredményeképpen igazoljuk, hogy az alkalmazás megfelelően biztonságos. A projekt lezárásaként átadjuk a „Betörésteszt vizsgálati jelentést”, amely a talált sérülékenységeket és az elvégzett vizsgálatokat tartalmazza, illetve az alkalmazás biztonsági megfelelését igazoló oklevelet.