Mobile App Penetration Testing

Obiettivo

Il mobile Penetration Testing ha come obiettivo quello di valutare la sicurezza delle applicazioni e dei sistemi operativi utilizzati sui dispositivi mobili, come smartphone e tablet, al fine di individuare eventuali vulnerabilità e falle che possono essere sfruttate da hacker e malintenzionati per attaccare gli utenti. Attraverso il mobile Penetration Testing, si cerca di identificare le debolezze dei dispositivi mobili e dei relativi software, per poter poi intervenire nel modo più efficace per mitigare i rischi e aumentare la protezione dei dati sensibili degli utenti. In questo modo, si cerca di garantire una maggiore sicurezza al mondo mobile, considerato sempre più critico e vulnerabile rispetto alle minacce informatiche.

Output dell’attività

Report tecnico completo contenente tutte le eventuali criticità di sicurezza rilevate.

Call di allineamento per mostrare e spiegare i risultati sia al team tecnico che manageriale.

Supporto post-remediation: ci assicuriamo che le mitigazioni effettuate dopo le attività, siano a prova di cyber-criminali e rispecchino tutte le best-practices di settore.

OWASP MOBILE Top 10

1

Insecure data Storage

2

Improper Platform usage

3

Insecure communication

4

Insecure Authentication

5

Insufficient Cryptography

6

Insecure Authorization

7

Poor code Quality

8

Code Tampering

9

Reverse engineering

10

Extraneous Functionality

Mobile Penetration Testing

La nostra Metodologia

Gli standard che seguiamo: PTES, OWASP, OSSTMM, ISO/IEC 27001, NIST SP800-15, PCI DSS.

1

Analisi Statica

Reverse engineering dei binari e/o analisi statica del codice sorgente.

2

Analisi Dinamica

Effettuazione della DAST (Dynamic Application Security Testing), per identificare e analizzare possibili vulnerabilità quando l'applicazione è in esecuzione.

3

Analisi Post- Installazione

Analizziamo il dispositivo dopo che l’applicazione è stata installata ed utilizzata, per riscontrare eventuali problematiche di sicurezza.

4

Analisi della memoria

Analisi di quello che avviene a livello di «memoria» all’interno del dispositivo. Questo genere di test aiuta a capire che tipo di file ed informazioni vengono generate e scritte nel dispositivo.

5

Attività di Penetration Testing

Penetration Testing applicativo per individuare vulnerabilità note e non note, seguendo una rigorosa checklist in base agli standard di settore.

6

Report e remediation

Alla fine del processo di testing viene fornito un report completo comprensivo di raccomandazioni dettagliate per correggere le eventuali problematiche individuate.