iOS mobile application black box penetration testing

Bachelor Studiengang IT Security

Alexander Kolmann, BSc
19.09.2014

Ausgangslage

Angesichts der in den letzten Jahren stark zunehmenden Nutzerzahlen von mobilen Endgeräten, einerseits für den privaten Gebrauch andererseits im Unternehmen, ergibt sich ein zunehmendes Gefahrenpotential. Die mobilen Endgeräte gewinnen immer mehr an Bedeutung, so dass es keine Seltenheit ist, dass wichtige Daten auf diesen Geräten verarbeitet werden. Diese Arbeit befasst sich ausschließlich mit iOS Applikationen, da Apple mit dem iPhone sowie iPad einen sehr hohen Marktanteil aufweist. Der Einsatz dieser mobilen Endgeräte erlaubt es, mobile Applikationen, so genannte Apps zu installieren. Diese können einerseits von Apple als auch von Drittanbietern stammen. Wie bei klassischer Software, können mobile Apps ebenfalls Schwachstellen und Sicherheitslücken aufweisen. Diese Gefährdungen durch mobile Applikationen müssen erkannt und entsprechend dagegen vorgegangen werden. Damit eine Applikation auf Schwachstellen und Sicherheitslücken untersucht werden kann, ist eine dokumentierte Vorgehensweise erforderlich.

Die Vorgehensweise bei Sicherheitsüberprüfungen von klassischer Software ist seit einigen Jahren klar strukturiert und dokumentiert. Durch die Gegebenheiten von Smartphone und Tablet, sowie mobilen Applikationen ist es ebenfalls notwendig diese Strukturen für die Überprüfung von mobilen Applikationen zu erarbeiten und entsprechend zu dokumentieren.

Ziel

Das Ziel dieser Arbeit ist es, die Vorgehensweise zum Penetration Testing von mobilen iOS Applikationen zu erarbeiten. Dazu werden Schwachstellen und Bedrohungen, welche eine Applikation haben kann, beschrieben und entsprechend getestet. Aus den gewonnen Erkenntnissen soll eine Checkliste erstellt werden, welche in tabellarischer Form die zu prüfenden Gebiete enthält.

Des Weiteren sollen die Unterschiede zum Penetration Testing von klassischer Software aufgezeigt werden.

Ergebnis

Als Ergebnis konnten die Unterschiede, sowie Besonderheiten von iOS Applikation Penetration Testing identifiziert werden. Aus diesen Erkenntnissen ging hervor, dass es möglich war, die Gebiete welche bei einem Penetration Test von iOS Applikationen berücksichtigt werden sollen zu identifizieren, sowie zu dokumentieren.

FH-Betreuer: Dipl.-Ing., Dipl.-Ing. Christoph Lang-Muhr, BSc