Mobile Applikationen sind aus unserem Alltag nicht mehr wegzudenken und werden immer wichtiger für Unternehmen, vor allem in Branchen, die mit besonders sensiblen Daten arbeiten. Ein aktuelles Beispiel aus der Bankenwelt zeigt dies deutlich: Über 10% der Schweizer Bevölkerung nutzen inzwischen Neo-Banken, also Banken, die typischerweise ausschliesslich über eine einzelne mobile Applikation mit ihren Kunden interagieren.
Mobile Applikationen bieten viele Vorteile, bringen aber auch eine Angriffsfläche mit sich. Denn wie Webapplikationen sind auch sie anfällig für zahlreiche Sicherheitsrisiken. Genau hier kommen Penetration Tests (Pentests) nach dem OWASP Mobile Application Security Verification Standard (MASVS) ins Spiel. Sie decken Schwachstellen systematisch auf und helfen Unternehmen, ihre Applikationen gegen Cyberangriffe zu schützen.
Doch was genau ist ein Penetration Test nach MASVS und worauf achten professionelle Sicherheitsexperten? Wir fassen die wichtigsten Punkte zusammen.
Inhaltsverzeichnis
Mobile Application Security Verification Standard (MASVS)
Der OWASP Mobile Application Security Verification Standard (MASVS) ist Teil des OWASP Mobile Application Security (MAS) Project, einer Initiative des Open Worldwide Application Security Project (OWASP). Das OWASP ist eine Non-Profit-Organisation, die das Ziel verfolgt, die digitale Sicherheit weltweit zu verbessern. Bekannt ist sie unter anderem durch die OWASP Top Ten, einer Liste der häufigsten Sicherheitsrisiken für Webapplikationen.
Der MASVS definiert klare «Controls». Dabei handelt es sich um konkrete Sicherheitsanforderungen dazu, welche Schutzmassnahmen für mobile Applikationen implementiert werden sollten. Diese Anforderungen sind in verschiedene Gruppen unterteilt, die jeweils zentrale Sicherheitsbereiche abdecken:
- MASVS-Storage: Sensible Daten sollen sicher gespeichert und vor Leaks geschützt werden.
- MASVS-Crypto: Die eingesetzte Kryptographie soll den Best Practices entsprechen und damit sensible Daten schützen.
- MASVS-Auth: Der Zugriff auf die Applikation und die zugehörigen Daten soll geschützt und nur für berechtigte Benutzer möglich sein.
- MASVS-Network: Der Netzwerkverkehr zum Backend (API-Gateway) soll vor Einsicht und Manipulation geschützt sein.
- MASVS-Platform: Von der Plattform angebotene Mechanismen sollen sicher genutzt werden. Dies betrifft beispielsweise die sichere Verwendung des User Interface (Schutz vor Shoulder-Surfing, etc.).
- MASVS-Code: Schwachstellen werden ausgehend vom Source Code der Applikation behandelt. Dies betrifft zum Beispiel den Einsatz von Bibliotheken Dritter.
- MASVS-Resilience: Massnahmen gegen Reverse Engineering, Manipulation und Missbrauch sollen zur Sicherstellung der Integrität der Applikation implementiert werden.
- MASVS-Privacy: Der Schutz der Privatsphäre der Benutzer der Applikation steht im Fokus. Beispielsweise sollen möglichst wenige Daten über sie gesammelt werden.
Im Kontext eines Mobile Application Pentest dienen diese Anforderungen als strukturierte Prüfbasis. Sie fungieren gewissermassen wie ein sicherheitstechnischer Anforderungskatalog: Penetration Tester überprüfen systematisch, ob die definierten Controls eingehalten werden und identifizieren gezielt Abweichungen. Damit sie dies in der Praxis tun können, gibt es zwei weitere Teilprojekte, die im Nachfolgenden beschrieben werden.
MASWE und MASTG als Ergänzung zum Testen der Controls aus dem MASVS
Um Entwickler und Penetration Tester bei der praktischen Umsetzung zu unterstützen, ergänzt das OWASP den MASVS um zwei weitere Bausteine:
- Mobile Application Weakness Enumeration (MASWE)
- Mobile Application Security Testing Guide (MASTG)
- Das Zusammenspiel dieser Komponenten hat das OWASP in folgender Grafik abgebildet:
Während der MASVS definiert, was eine sichere mobile Applikation erfüllen muss, beschreiben MASWE und MASTG ergänzend, welche typischen Schwachstellen existieren und wie diese konkret getestet werden können.
Mobile Application Weakness Enumeration (MASWE)
Die MASWE (derzeit noch im Beta-Status) beschreibt konkrete Schwachstellen, die den im MASVS definierten Security Controls zugeordnet sind. Zu jeder Schwachstelle liefert die MASWE eine Beschreibung, potenzielle Auswirkungen sowie mögliche Massnahmen zur Behebung.
Einige der Schwachstellen betreffen ausschliesslich Android oder iOS, die meisten gelten jedoch für beide Plattformen. Zusätzlich sind alle Schwachstellen in unterschiedliche Testprofile eingeordnet, sodass Unternehmen das passende Sicherheitsniveau für ihre mobile Applikation auswählen können:
Sicherheitsprofile
L1 – Basis-Sicherheitsprofil
- L1 bildet die Grundlage und wird für alle mobilen Applikationen empfohlen.
- Ziel: Schutz vor allgemeinen Bedrohungen und Umsetzung zentraler Security Best Practices
- Annahme: Der Benutzer handelt nicht böswillig und den Security Controls des Betriebssystems kann vertraut werden; andere Apps auf dem Gerät werden jedoch als potenziell bösartig betrachtet
- Geeignet für Applikationen ohne besonders sensible Funktionen oder Daten
L2 – Erweitertes Sicherheitsprofil
- L2 erweitert L1 und adressiert fortgeschrittene Bedrohungen.
- Ziel: Schutz auch bei kompromittierten Geräten (z. B. Root/Jailbreak)
- Annahme:
- Zusätzlich zu L1 wird den Security Controls des Betriebssystems nicht mehr vertraut
- Weiterhin werden Drittparteien mit oder ohne physischen Zugriff als potenzielle Angreifer berücksichtigt
- Empfohlen für Apps mit sensiblen Funktionen oder Daten
R – Resilience-Profil
Dieses Profil fokussiert sich auf die Widerstandsfähigkeit der Applikation.
- Ziel: Schutz vor Reverse Engineering und manipulativen Bedrohungen; dies kann beispielsweise wichtig sein, falls eine Applikation über erweiterte zahlungspflichtige Funktionen verfügt und verhindert werden soll, dass diese unbefugt freigeschaltet werden
- Annahme: Zusätzlich zu L2 wird auch der Benutzer selbst als potenzielle Bedrohung betrachtet
- Empfohlen für Apps, bei denen die Applikationslogik oder geschäftskritische Werte geschützt werden müssen, etwa bei proprietärer Software oder kostenpflichtigen Funktionen
Privatsphärenprofil
P – Privacy-Profil
- Dieses Profil adressiert den Schutz der Privatsphäre der Benutzer.
- Ziel:
- Fokus auf datenschutzfreundliche Implementierungen
- Enthält Best Practices zum Schutz sensibler Benutzerinformationen
- Empfohlen für alle Applikationen, die personenbezogene oder sensible Daten verarbeiten
Die Profile können kombiniert werden, um das gewünschte Sicherheitsniveau zu erreichen – beispielsweise L2 + P + R.
Mobile Application Security Testing Guide (MASTG)
Der Mobile Application Security Testing Guide (MASTG) ist ein praktischer Leitfaden für Sicherheitstests von mobilen Applikationen. Während der MASVS Sicherheitsanforderungen definiert und der MASWE typische Schwachstellen beschreibt, zeigt der MASTG, wie diese Schwachstellen konkret getestet werden können.
Für die im MASWE definierten Schwachstellen stellt der MASTG passende Testfälle und Testmethoden bereit. Diese sind jeweils den entsprechenden Plattformen (Android oder iOS) sowie den jeweiligen Sicherheitsprofilen zugeordnet. So können Penetration Tester systematisch überprüfen, ob die im MASVS definierten Security Controls korrekt umgesetzt wurden.
Jeder Testfall im MASTG enthält typischerweise:
- eine kurze Beschreibung des Testziels
- eine Übersicht der benötigten Voraussetzungen
- konkrete Testschritte zur Durchführung
- Hinweise zur erwarteten Beobachtung und Bewertung
Zusätzlich werden häufig Best Practices und weiterführende Ressourcen verlinkt. In vielen Fällen enthält der MASTG auch detaillierte Demonstrationen, bei denen eine Testapplikation mit einer entsprechenden Schwachstelle bereitgestellt wird. Anhand dieser Applikation wird der jeweilige Testfall Schritt für Schritt demonstriert.
Neben den Testfällen bietet der MASTG auch umfangreiches Hintergrundwissen rund um die Sicherheit mobiler Applikationen. Dazu gehören unter anderem:
- Umfassende Beschreibungen rund um Android und iOS: Informationen zu den Plattformen selbst sowie zu ihren Sicherheitselementen. Diese werden vertieft in der Knowledge Base, welche über detaillierte Artikel verfügt, in denen beispielsweise das Thema Key Attestation in Android beschrieben wird.
- Über 30 Best Practices für die Sicherheit mobiler Applikationen, welche laufend aktualisiert werden.
- Verschiedene Techniken, die für Mobile Application Pentests relevant sind, beispielsweise das Signieren von IPA-Dateien.
- Verschiedene Tools für das Testen von Applikationen: Beispielsweise das Tool Burp Suite, welches genutzt werden kann, um den HTTP-Verkehr der Applikation zu testen.
- Testapplikationen für das Selbststudium und zum Testen von spezifischen Testfällen, Techniken oder Tools. Diese können auf eigene Verantwortung genutzt werden.
MASVS-Pentests in der Praxis
Der Vorteil, sich bei einem Pentest am MASVS zu orientieren, liegt also auf der Hand: Die Tests basieren auf klar definierten Security Controls und greifen auf etablierte, praxiserprobte Testmethoden zurück. Gleichzeitig wird der Standard kontinuierlich von der Cybersecurity-Community weiterentwickelt und aktualisiert, sodass neue Angriffstechniken und Best Practices regelmässig einfliessen.
Aus diesem Grund orientieren sich auch professionelle Penetration Tester häufig am MASVS. Damit können sie sicherstellen, dass alle sicherheitsrelevanten Bereiche einer mobilen Applikation systematisch geprüft werden. Statt sich ausschliesslich auf die Einschätzung eines einzelnen Unternehmens zu stützen, basiert die Bewertung auf einem anerkannten Branchenstandard.
Darüber hinaus bietet das OWASP Mobile Application Security Project auch für Entwickler und Security-Spezialisten einen grossen Mehrwert. Die umfangreichen Ressourcen ermöglichen eine kontinuierliche Weiterbildung und helfen dabei, mobile Applikationen langfristig widerstandsfähiger gegen Angriffe zu machen.
Fazit – Mit strukturierten Pentests zu mehr Cyberresilienz
Zusammengenommen bilden MASVS, MASWE und MASTG ein umfassendes Framework für die Sicherheit mobiler Applikationen:
Der MASVS definiert mit den Security Controls die Sicherheitsanforderungen, die MASWE beschreibt typische Schwachstellen und der MASTG liefert konkrete Testmethoden sowie ein umfassendes Nachschlagewerk für deren Überprüfung.
Gemeinsam ermöglichen diese Komponenten eine strukturierte Überprüfung mobiler Applikationen. Unternehmen erhalten eine klare Grundlage, um Sicherheitslücken zu identifizieren und gezielt zu beheben. So trägt das OWASP entscheidend dazu bei, die Cyberresilienz mobiler Applikationen zu stärken sowie Applikationen für Benutzer sicherer, widerstandsfähiger und vertrauenswürdiger zu machen.
Mobile Applikationen professionell testen lassen
Sie betreiben eine mobile Applikation und möchten diese auf Sicherheitslücken überprüfen lassen?
Im Rahmen eines Mobile Application Penetration Test analysieren die Experten von Oneconsult Ihre Applikation strukturiert und praxisnah – unter anderem auf Basis des MASVS. Anschliessend erhalten Sie eine klare Einschätzung der identifizierten Schwachstellen sowie konkrete Empfehlungen, wie Sie die Sicherheit und Resilienz Ihrer Applikation weiter verbessern können.
