Mobile Application Security Testing (MAST)

Las Mobile Application Security Testing son un servicio Application Security Assessment propuesto por ISGroup para plataformas iOS y Android. Se adapta en función del lenguaje de programación utilizado para el desarrollo de aplicaciones nativas (Objective-C, Swift, Java, Kotlin) o aplicaciones construidas con frameworks híbridos (como React, React Native, Cordova, Xamarin, Titanium Appcelerator, Ionic, PhoneGap)

Hay muchas empresas que han invertido en aplicaciones móviles, pero suele haber poca atención a la seguridad porque las vulnerabilidades y las correspondientes posibilidades de ataque por parte de un usuario malintencionado son menos conocidas.

El equipo de ISGroup está constantemente actualizado sobre las últimas novedades en materia de seguridad móvil, tanto desde el punto de vista del atacante como del desarrollador, con el fin de ofrecer el mejor servicio de análisis posible a sus clientes.

Mediante el uso de técnicas manuales y herramientas avanzadas, el tester es capaz de realizar un análisis estático y en tiempo de ejecución de la aplicación, para saltarse cualquier limitación o cualquier lógica de negocio implementada.

Las aplicaciones móviles, por su naturaleza, también están sujetas a vulnerabilidades del lado del cliente relacionadas con la interacción de la aplicación con el sistema operativo y el dispositivo subyacente. Por ejemplo, es posible que la aplicación no compruebe si el teléfono o la tableta tiene jailbreak o está rooted, o si almacena datos sensibles o importantes de forma insegura.

Por último, el auditor se encarga de la verificación relacionada con las interacciones entre la aplicación y el servidor remoto, que pueden ser objeto de vulnerabilidades similares a las que afectan a las aplicaciones web (comprobaciones de Autenticación y Autorización, SQL Injection).

Descripción

Una actividad de Mobile Application Security Testing representa la simulación de un atacante contra una aplicación que se puede descargar directamente de las tiendas oficiales (AppStore y PlayStore) o que se proporciona de forma alternativa para uso interno.

La prueba puede realizarse en modo Grey Box o Black Box.
En el primer caso, el tester analiza el código de la aplicación que el cliente ha proporcionado para identificar plenamente las vulnerabilidades que, de otro modo, podrían quedar ocultas por la ofuscación del código. A continuación, continúa con el análisis del tiempo de ejecución de la aplicación del lado del cliente y las interacciones con los servicios del lado del servidor expuestos.

En el caso del análisis de la black box, el tester se encuentra en la situación de un atacante que analiza la aplicación descargada de la tienda, como un usuario normal.

Dado que el código de la aplicación cliente se encuentra en el dispositivo, el tester intenta realizar reverse engineer e intenta verificar la presencia y solidez de cualquier contramedida implementada para evitar el robo de la propiedad intelectual y el conocimiento de cualquier mecanismo de seguridad que pudiera ser burlado de esta manera.

Posteriormente se verifica la posibilidad de la manipulación de la aplicación durante su ejecución. Finalmente se comprueban todos los parámetros identificados en las peticiones, tanto manualmente como mediante el uso de herramientas.

Dependiendo del tipo de aplicación y del nivel de acceso obtenido, el tester intentará modificar el flujo de la aplicación y manipular y explotar los datos guardados localmente y en el servidor remoto.

Output

El Report es un documento sencillo y detallado que resume los resultados de la actividad y está dividido en tres áreas diferentes, como se ha descrito anteriormente:

Executive Summary
Se coloca al principio del Report y no tiene más de una página. Consiste en una visión general no técnica, y está dedicado al Management.

Vulnerability Details
Consiste en una parte técnica que describe en detalle las vulnerabilidades descubiertas y su impacto. Está dedicado al Security Manager.

Remediation Plan
Una sección técnica con instrucciones detalladas y precisas sobre cómo resolver los problemas identificados. Está dedicada a los desarrolladores.

Video MAST - Mobile Application Security Testing

PodCast Spotify MAST - Mobile Application Security Testing

PodCast Apple MAST - Mobile Application Security Testing

Trabajar con nosotros es muy sencillo, sólo hay que llamar al número (+39) 045 4853232 o enviar un correo electrónico para que podamos conocernos y hablar de tus necesidades de seguridad informática.

Solicita un presupuesto para
Mobile Application Security Testing (MAST)