Mobile-App-Pentest

Sicherheitsprüfung von iOS- und Android-Apps auf Datenschutz, API-Sicherheit und Reverse-Engineering-Resistenz.

Mobile Apps verarbeiten zunehmend sensible Daten: Bankdaten, Gesundheitsinformationen, Biometrie, Standorte und Unternehmensgeheimnisse. Die OWASP Mobile Top 10 zeigen, dass die häufigsten Schwachstellen in lokaler Datenspeicherung, unsicherer Kommunikation und fehlender Binary-Protection liegen. Mein Mobile-App-Pentest analysiert Ihre iOS- und Android-Apps statisch (Source Code / Binary) und dynamisch (Runtime). Ich prüfe die lokale Datenspeicherung (Keychain, SharedPreferences, CoreData, Realm), die API-Kommunikation, Certificate Pinning, Jailbreak/Root-Erkennung und die Resistenz gegen Reverse Engineering und Code-Tampering.

Das Problem

Mobile Apps speichern oft Tokens, personenbezogene Daten und Biometrie-Daten lokal unsicher. Ein gerootetes Gerät, manipulierte API-Requests oder ein extrahiertes API-Token können sensible Kundendaten preisgeben. Ausserdem werden Apps häufig re-signiert und mit Malware versehen, wenn der Code leicht zu modifizieren ist.

Methodik & Vorgehensweise

1. Static Analysis (SAST)

Analyse des Quellcodes oder der kompilierten Binary auf hartcodierte Credentials, unsichere APIs, fehlende Obfuscation und unsichere Konfigurationen (Android: AndroidManifest.xml, iOS: Info.plist).

2. Dynamic Analysis (DAST)

Runtime-Analyse auf einem Jailbroken/Rooted Device oder Emulator. Hooking mit Frida, Objection oder Xposed zur Manipulation von App-Logik und API-Requests.

3. Local Data Storage

Prüfung von Keychain (iOS), SharedPreferences, SQLite, CoreData, Realm und external storage auf unsichere Speicherung von Credentials, PII und Tokens.

4. Network Communication

Man-in-the-Middle-Angriffe (MitM), SSL-Pinning-Bypass, Prüfung von Zertifikatsvalidierung und Analyse der API-Kommunikation inkl. Header und Token-Handling.

5. Resilience & Integrity

Anti-Tampering, Root/Jailbreak-Erkennung, Code-Obfuscation, Debugger-Detection und Resilience gegen Decompilierung (ProGuard, R8, LLVM-Obfuscation).

Meine Leistungen im Detail

  • Local Data Storage Testing (Keychain, SharedPreferences, CoreData, SQLite, Realm)
  • Runtime-Manipulation & Jailbreak/Root-Erkennung (Frida, Objection, Xposed)
  • API-Kommunikation & Certificate-Pinning-Review (MitM, SSL-Pinning-Bypass)
  • Reverse-Engineering-Resistenz & Obfuscation-Check (Anti-Tampering, Debugger-Detection)

Rechtliche Grundlagen & Compliance

Meine Tests sind auf die regulatorischen Anforderungen im DACH-Raum abgestimmt. Ich helfe Ihnen, Nachweise für Audits, Zertifizierungen und Aufsichtsbehörden zu erbringen.

  • OWASP Mobile Top 10 (2024)
  • OWASP MASVS (Mobile Application Security Verification Standard)
  • OWASP MASTG (Mobile Application Security Testing Guide)
  • PCI DSS (bei Apps mit Zahlungsfunktion)
  • DSGVO / CH-DSG – Art. 32 (Verschlüsselung und Integrität)

Branchen & Anwendungsfälle

Banken & Fintechs (Banking-Apps)
Health-Apps & MedTech
E-Commerce-Apps
Unternehmens-Apps (MDM)
Government & Behörden-Apps
IoT-Companion-Apps

Häufig gestellte Fragen (FAQ)

Testet ihr sowohl iOS als auch Android?

Ja, ich teste native Apps (Swift, Objective-C, Kotlin, Java) sowie Cross-Platform-Apps (Flutter, React Native, Xamarin). Dabei prüfe ich plattformspezifische Schwachstellen und plattformübergreifende Risiken.

Brauche ich den Quellcode für den Pentest?

Nicht zwingend, aber er erhöht die Testtiefe erheblich (White Box). Für Black-Box-Tests reicht die installierbare App (APK/IPA) und die Zugangsdaten zu Testaccounts.

Was ist der OWASP MASVS?

Der Mobile Application Security Verification Standard (MASVS) definiert Sicherheitsanforderungen für Mobile Apps in den Stufen L1 (Standard), L2 (Defense-in-Depth) und R (Resilience). Ich teste gegen alle relevanten Stufen.

Wie lange dauert ein Mobile-App-Pentest?

Ein Standard-Test dauert 5–10 Arbeitstage, abhängig von der App-Komplexität, der Anzahl der Funktionen und ob Quellcode zur Verfügung steht. Der Report folgt innerhalb von 5 Werktagen.

Was ist Jailbreak / Rooting und warum ist es relevant?

Jailbreak (iOS) und Rooting (Android) heben die Herstellerbeschränkungen auf und ermöglichen tiefen Zugriff auf das Betriebssystem. Für einen Pentest ist das essenziell, um lokale Datenspeicherung, Keychain/Keystore und API-Key-Embedding zu prüfen.

Muss die App im App Store verfügbar sein?

Nein. Für Black-Box-Tests reicht die APK (Android) oder IPA (iOS). Für White-Box-Tests benötige ich zusätzlich den Quellcode und die Build-Konfiguration.

Verwandte Leistungen

API-PenetrationstestWeb-Application-PentestCloud-Pentest (AWS / Azure / GCP)Penetrationstest (Pentest)

Sie stehen vor dieser Herausforderung?

Ich bewerte gerne in einem kurzen, kostenfreien 30-Minuten-Assessment, ob meine Expertise zu Ihrem Setup passt.

Kontakt

Zielgruppen-Fit

Banken und Fintechs mit Banking-Apps, Health-Apps, Unternehmen mit Kunden-Apps, die personenbezogene Daten verarbeiten, und jeder, der App-Sicherheit in der DACH-Region professionalisieren will.

Zusammenarbeit

Ausschliesslich NDA-basiert. Vendor-neutral. Dokumentiert nach PTES-Standard. Flexible Terminierung auch kurzfristig.

DACH-Region

Ich bin spezialisiert auf Unternehmen in der Schweiz (Zürich, Zug, Bern, St. Gallen, Basel, Genf), Deutschland (München, Frankfurt, Berlin, Hamburg) und Österreich (Wien, Graz). Alle Reports werden auf Deutsch oder Englisch erstellt – konform zu FINMA, BSI und NIS2.