State of the art iOS penetration testing – Eine empirische Analyse vorhandener Techniken und Tools

Master Studiengang Information Security

Dipl.-Ing. Florian Gassner, BSc

Betreuer: Dipl.-Ing. Dipl.-Ing. Christoph Lang-Muhr, BSc

Ausgangslage

Nachrichten von Hackerangriffen oder Datendiebstählen sind ständige Begleiter in Zeiten zunehmender Digitalisierung. Es vergeht kaum ein Tag, an dem kein Bericht über die Cyberkriminalität in den Medien zu lesen beziehungsweise zu hören ist, ein ununterbrochenes Katz-und-Maus-Spiel zwischen Datenschützer/innen beziehungsweise Entwickler/innen und Hacker/innen. Mobile Anwendungen werden sowohl im privaten als auch in unternehmerischen Bereichen vermehrt verwendet. In manchen Unternehmen ist es mittlerweile üblich, dass Mitarbeiter/innen jederzeit erreichbar sind und unternehmensspezifische Aufgabenstellungen beantworten oder bearbeiten können. Daher sind unternehmenskritische Daten vermehrt auch auf privaten Endgeräten verfügbar und ständig abrufbar. Unternehmen müssen deshalb sicherstellen, dass die zugrundeliegenden Applikationen entsprechend gesichert sind. Diese Arbeit widmet sich insbesondere der Sicherheitsüberprüfung mobiler iOS Anwendungen.

Ziel

Das Ziel dieser Arbeit ist es, Kenntnisse über die von Apple eingesetzten Sicherheitsmaßnahmen zu erlangen sowie die durch Entwickler/innen implementierten Schwachstellen aufzuzeigen. Weiter werden geeignete Tools und Frameworks identifiziert und deren Anwendung in der Praxis dargestellt werden. Abschließend wird ein Workflow zur Verfügung gestellt, der als Leitfaden für Sicherheitsüberprüfungen verwendet werden kann. Mit diesem Workflow können Schwachstellen in mobilen iOS Anwendungen aufgedeckt und deren Behebung ermöglicht werden. 

Ergebnis

Im Zuge der Arbeit konnte ein umfassender Überblick über das mobile Betriebssystem von Apple gewonnen werden beziehungsweise wie sich darauf befindliche Anwendungen auf deren Sicherheit überprüft werden können. Das Ergebnis ist die Darstellung häufiger Implementierungsfehler und eine Gegenüberstellung der am weitest verbreiteten Frameworks und Tools. Dabei wird im Detail aufgezeigt, welchen Mehrwert diese Frameworks und Tools für eine Sicherheitsüberprüfung bieten. Aufbauend auf diesen Erkenntnissen wurde ein Workflow erarbeitet, der die einzelnen Phasen einer Sicherheitsüberprüfung darstellt und die darin enthaltenen Arbeitsschritte spezifiziert.