Offensief

Mobile app pentest

Een mobiele app is vaak direct verbonden met uw klanten, uw data en uw reputatie. Maar hoe zeker weet u dat deze veilig is?

Met de mobile app pentest simuleren wij een gerichte aanval op uw app, de achterliggende API’s en de server. Niet met alleen een tool, maar met echte experts die denken en handelen als een kwaadwillende hacker, zodat u precies weet waar u staat.

De ethical hackers die onze pentests uitvoeren, beschikken over de certificeringen OSWE, OSCP, OSEP, eWPT, CPTS & CWES. Lees hier ook meer over ons CCV-keurmerk Pentesten.

Wat is een mobile app pentest?

Een mobile app pentest is een gecontroleerde aanval op uw app (iOS of Android). Het klinkt spannend en dat is het ook. Onze ethisch hackers testen hoe sterk uw app echt is. We kijken niet alleen naar de app zelf. Ook de communicatie met de server, de backend en de manier waarop data wordt verwerkt nemen we mee. We testen of we verkeer kunnen onderscheppen en controleren of we de backend zonder app kunnen bereiken. Ook onderzoeken we mogelijke datalekken en hoe eenvoudig de beveiliging te omzeilen is. Zo krijgt u snel en helder inzicht in de echte risico’s van uw applicatie.

Waarom een mobile app pentest?

Veel organisaties benaderen ons met vergelijkbare vragen;

✔ Kunnen derden ongeautoriseerd gebruikmaken van onze app?
✔ Lekt onze applicatie onbedoeld gevoelige data?
✔ Is onze app écht veilig gebouwd?
✔ Kunnen wij klanten met zekerheid garanderen dat deze veilig te gebruiken is?

Met een mobile app pentest ziet u direct hoe veilig uw app echt is. U krijgt inzicht in kwetsbaarheden en concrete verbeterpunten. Zo kunt u gericht verbeteren en zekerheid bieden aan uw gebruikers.

Vrijwel elke test levert nieuwe inzichten op. Ook bij apps die al veilig lijken. Dat maakt een mobile app pentest juist zo waardevol.

Pentest scope

Een goede pentest begint met duidelijke keuzes. Samen bepalen we wat we testen en wat voor u het meest relevant is. Wilt u weten wat een externe aanvaller kan bereiken? Of juist wat er gebeurt zodra iemand al binnen is?

Vaak kiezen organisaties voor beide scenario’s. Zo ontstaat een compleet beeld van uw cyber security.

We testen een externe aanval via het internet en een interne aanval vanuit een bestaande positie. Ook een combinatie is mogelijk voor maximaal inzicht.

Mobile app pentest aanpak

Een mobile app pentest bij Cyberlab is geen standaard scan waarbij een tool een lijst met bevindingen genereert. Wij geloven dat echte veiligheid alleen zichtbaar wordt wanneer een ervaren specialist actief probeert uw applicatie binnen te dringen. Daarom voeren wij onze testen uit zoals een kwaadwillende hacker dat zou doen. Dat geeft een realistisch beeld van de weerbaarheid van de applicatie:

De test wordt uitgevoerd door echte experts;
Er kijkt een ervaren ethisch hacker naar;
Het onderzoek wordt handmatig uitgevoerd;
Er wordt actief geprobeerd binnen te dringen;

Hoe werkt een mobile app pentest?

Vooraf bepalen we hoeveel informatie onze testers krijgen. Dat heeft direct invloed op de aanpak en diepgang van het onderzoek.

Zonder voorkennis voeren we een realistische aanval uit, zoals een externe hacker dat zou doen. Dit noemen we een black box-test. Met beperkte informatie kunnen we gerichter testen. Dat is een grey box-aanpak. Krijgen we volledige inzage, dan duiken we diep de techniek in met een white box-test.

Elke variant heeft zijn eigen voordelen. Gaat het om realisme of juist om maximale diepgang? Samen kiezen we de aanpak die het beste past bij uw situatie.

Pentest rapportage

Na de pentest ontvangt u een heldere en gestructureerde rapportage. Per kwetsbaarheid ziet u hoe kritisch deze is, wat de impact kan zijn en hoe u het probleem oplost.

Maar het blijft niet bij inzicht alleen. U krijgt concrete handvatten om direct verbeteringen door te voeren. Zo weet uw development team precies wat er moet gebeuren en kan het management onderbouwde keuzes maken.

Het resultaat? Een aantoonbaar veiligere applicatie en duidelijk overzicht van waar u staat op het gebied van security.

Specifieke risico’s van mobiele apps

Een mobiele applicatie brengt andere risico’s met zich mee dan een webapplicatie. Daarom verdient deze een aparte aanpak. Tijdens een mobile app pentest kijken wij expliciet naar:

Reverse engineering van de app;
Onveilige opslag van gegevens op het toestel;
Manipulatie van app-communicatie;
Misbruik van API-koppelingen;
Mogelijkheid om zonder app direct met de backend te communiceren;
Data die via de app lekt;

Voor wie is deze pentest geschikt?

Niet iedere organisatie heeft dezelfde risico’s of doelstellingen. Daarom kijken we samen naar uw situatie en bepalen we welke invalshoek het beste past bij uw applicatie en omgeving.

Doelgroep

Organisaties die mobiele apps ontwikkelen en aanbieden

Developers die apps op de markt zetten

Bedrijven waarbij veel (gevoelige) data betrokken is

Organisaties waarbij continuïteit cruciaal is

Praktijksituaties

Een app voor inbraakalarmen die continu actief moet blijven

Apps met klantgegevens

Apps met betalingsfunctionaliteit

Apps met bedrijfsgevoelige informatie

Ook relevant voor

Organisaties die reputatieschade door een hack willen voorkomen

Bedrijven die hun klanten zekerheid willen bieden

Meer weten over de mobile app pentest?

Meer weten over de risico’s die uw mobiele applicatie mogelijk loopt? Zelf een mobile app pentest aanvragen? Of heeft u andere vragen over het testen van uw app?

Neem dan vrijblijvend contact met ons op.

We willen collectief cybercriminelen buiten onze applicatie houden. De pentest beviel goed: de pentester heeft in een week onze applicatie getest en de documentatie aangeleverd.

Sjors Hooijen Tech2B