Verwenden Sie adb pull, um die APK abzurufen. Wenn Sie den Paketnamen nicht kennen, ist der erste Schritt, alle auf dem Gerät installierten Anwendungen aufzulisten: Wir freuen uns, Ihnen mitteilen zu können, dass in Kürze eine begrenzte Anzahl von Sponsoring-Paketen über unsere Crowdfunding-Kampagne zur Verfügung gestellt wird. Mit diesen Paketen bieten wir Unternehmen die Möglichkeit, Markenbekanntheit zu schaffen und die Sichtbarkeit im mobilen Sicherheitsbereich zu maximieren. 100 % der aufgenommenen Mittel fließen direkt in das Projektbudget und werden zur Finanzierung der Produktion der endgültigen Freigabe verwendet. Nachdem Sie den Paketnamen der Anwendung gesammelt haben, auf die Sie abzielen möchten, sollten Sie mit dem Sammeln von Informationen darüber beginnen. Rufen Sie zunächst die APK ab, wie unter “Grundlegende Testvorgänge – Abrufen und Extrahieren von Apps” erläutert. Falls Sie Zugriff auf ein gerootetes Gerät haben, kann Objection eine direkte Verbindung mit dem ausgeführten Frida-Server herstellen, um alle Funktionen bereitzustellen, ohne die Anwendung neu verpacken zu müssen. Nachgeschaltete Nachrichten (Pushbenachrichtigungen) werden vom Anwendungsserver an die Client-App gesendet. Upstreamnachrichten werden von der Client-App an den Server gesendet. Als zusätzliche Sicherheitsebene können Push-Benachrichtigungen mit Capillary verschlüsselt werden. Capillary ist eine Bibliothek, um das Senden von End-to-End (E2E) verschlüsselten Push-Nachrichten von Java-basierten Anwendungsservern an Android-Clients zu vereinfachen.

Die gepatchte Anwendung muss dann mit adb installiert werden, wie unter “Grundlegende Testvorgänge – Installieren von Apps” erläutert. Sven ist ein erfahrener Web- und Mobile Penetration Tester und hat alles bewertet, von historischen Flash-Anwendungen bis hin zu progressiven mobilen Apps. Er ist auch ein Sicherheitsingenieur, der viele Projekte Ende-zu-Ende während des SDLC unterstützte, um “Sicherheit einzubauen”. Er sprach auf lokalen und internationalen Treffen und Konferenzen und führt praktische Workshops zu Web-Anwendungen und mobiler App-Sicherheit durch. Mit dem Befehl env zeigt Ihnen auch alle Verzeichnisinformationen der App. Die Verbindung mit der Anwendung mit Widerspruch wird im Abschnitt “Empfohlene Tools – Einwand” beschrieben. Mit den Sponsoring-Paketen des Mobile Security Testing Guide bieten wir Unternehmen die Möglichkeit, Markenbekanntheit zu schaffen und die Sichtbarkeit im mobilen Sicherheitsbereich zu maximieren. Eine begrenzte Anzahl von Sponsoring-Paketen wird in Kürze über unsere Crowdfunding-Kampagne zur Verfügung gestellt. Die Checkliste eignet sich hervorragend als Referenz bei Sicherheitsbewertungen für mobile Apps.

Sie können die Anforderungen nacheinander durchgehen – für weitere Informationen zu jeder Anforderung klicken Sie einfach auf den Link in der Spalte “Testverfahren”. Oder füllen Sie die Checkliste am Ende einer Bewertung aus, um die Vollständigkeit zu gewährleisten. Nach der Erstellung müssen die Apps auch einen Eintrag in die Manifestdatei aufnehmen, um auf die neue Netzwerksicherheitskonfigurationsdatei zu verweisen. Bevor Sie mit dem Beitrag beginnen, lesen Sie bitte unseren kurzen Style Guide, der einige grundlegende Schreibregeln enthält. Einige Apps versuchen zu erkennen, ob das iOS-Gerät, auf dem sie ausgeführt werden, jailbroken ist. Dies liegt daran, dass Jailbreak einige der Standardsicherheitsmechanismen von iOS deaktiviert.