Därför ska du penetrationstesta din mobilapp

Vad är ett penetrationstest?

Ett penetrationstest för mobilapplikationer hjälper dig att hitta sårbarheterna i ditt företags mobilapp, så att du kan säkerställa en hög säkerhet för företaget och mobilappens användare.

I denna artikel kommer vi att diskutera vad penetrationstestning av mobilapplikationer innebär, hur det går till, varför det är viktigt och vad man vinner på att investera i ett penetrationstest.

Vad är en mobilapplikation?

Mobilapplikationer, appar eller mobilappar är program som är utformade för att köras på mobila enheter, såsom smartphones och surfplattor. Apparna kan ha olika syften, från rena kommunikationsplattformar till e-handelsbutiker från spel till olika företagsappar som till exempel Outlook. De är ofta ett viktigt verktyg för företag att nå ut och interagera med sina kunder, men också tillhandahålla enkel åtkomst till deras produkter och tjänster genom att skapa en mer personlig upplevelse för användarna. Det är därför viktigt att se till att mobilapplikationerna är säkra och skyddade mot potentiella hot och angrepp, både för slutanvändaren och företaget.

Vad är penetrationstestning av mobilapplikationer?

Penetrationstestning av mobilapplikationer är en process där en säkerhetsanalytiker analyserar en mobilapplikation för att hitta eventuella säkerhetsbrister. Syftet med detta är att hitta eventuella sårbarheter eller svagheter som kan utnyttjas av en angripare för att ta sig in till bakomliggande kopplingar, appens användare eller data som sparas eller behandlas i appen. Själva testet kan gå till på olika sätt. Det mest realistiska scenariot är Blackbox testet. Det går ut på att testaren enbart har namnet på applikationen som grund till testet. Det gör man för att komma så nära en riktig attack som möjligt. Motsatsen är ett Whitebox test där pentestarna får tillgång till all dokumentation, kod, inloggningsuppgifter, potentiella backend servrar med mera. Det ger testaren möjlighet att hitta uppenbara säkerhetsproblem i koden och appens struktur på förhand. Dessa säkerhetsproblem eller sårbarheter kan pentestaren därefter försöka utnyttja för att identifiera sårbarheter. Den största skillnaden mellan Whitebox och Blackboxtestet är att chansen är större att hitta brister i ett Whitebox scenario. Mitt emellan finns Greybox test som då ger pentestaren viss kännedom om miljön, till exempel som att ha viss behörighet i applikationen.

Varför är penetrationstestning av mobilapplikationer så viktigt?

Det finns många anledningar till att man bör penetrationstesta sin mobilapplikation. Den största och viktigaste anledningen är den kunskap som man får av ett pentest. Kunskap skapar trygghet. Den tryggheten, att veta vilka styrkor och svagheter som appen har, kan användas för att vidare stärka upp och skapa en stabil grund för appens framtid och vidareutveckling. I och med att man testar sin app skapas också en extern trygghet kring det man levererar åt sina användare samt en intern trygghet mot företaget att appen är säkerhetstestad.

Det du får på detaljnivå är ett kvitto på hur en angripare potentiellt skulle kunna utnyttja en sårbarhet i din mobilapplikation för att stjäla känslig information, få obehörig åtkomst till dina sammankopplade system eller utnyttja sårbarheterna för att sprida skadlig kod till appens slutanvändare. Beroende på vilket företag som penetrationstestar så får du en detaljerad rapport som innehåller information om appens sårbarheter tillsammans med rekommenderade lösningar.

Vissa företag som utför penetrationstest (Secify inkluderat) låter återtest ingå som en helt naturlig del av leveransen. Återtester innebär helt enkelt att vi testar sårbarheterna som vi hittade efter att beställaren har åtgärat dem. Är sårbarheterna borta vid det tillfället så skickar vi med ett certifikat på att appen är pentestad och sårbarheterna åtgärdade.

Kan man penetrationstesta sin app själv?

Det är fullt möjligt att penetrationstesta företagets egna mobilapp. Har man den kunskapen ”inhouse” på företaget och kan utnyttja den resursen så kan man absolut genomföra löpande säkerhetstester och på så sätt att öka säkerheten på ett kostnadseffektivt sätt. Men det kan även vara en god idé att vid kritiska tillfällen (vid stora uppdateringar eller åtgärder) låta en extern part göra ett objektivt test av appen för ett oberoende utlåtande av mobilapplikationens säkerhet. Samma gäller om personen som gör penetrationstestet på företaget också har andra arbetsuppgifter. Ett objektivt test av en dedikerad penetrationstestare avslöjar ofta ytterligare brister i appens säkerhet.

Att penetrationtesta mobilappen är en viktig process för att säkerställa att mobilapplikationen är säker att använda och skyddad mot potentiella attacker. Vi på Secify genomför penetrationstester på bland annat mobilappar och kan hjälpa ditt företag med det operativa kring säkerhetstestet men också ge råd och stöd för att ta fram en säkerhetsstrategi för applikationen eller kodgranska den kod som ska gå i produktion innan denna släpps för att säkerställa kodens korrekthet ur ett säkerhetsperspektiv. Kontakta oss om du vill veta mer om penetrationstester.