Penetration testing of Android applications

Bachelor Studiengang IT Security

Markus Poisinger, Bsc
19.09.2014

Ausgangslage

Das große Wachstum von mobilen Geräten wie Smartphones und Tablets bringt viele neue Anwendungsbereiche und Software mit sich. Vor allem das mobile Betriebssystem Android steigert seinen Marktanteil beträchtlich. Um dennoch ein Maß an Sicherheit zu gewährleisten müssen diese Anwendungen sogenannten Penetration Tests unterzogen werden. Diese Tests sollen Fehler die in der Entwicklung oder in der Konfiguration gemacht worden sind finden um sie anschließend beheben zu können. Mit der steigenden Komplexität dieser Anwendungen steigt auch die Anzahl möglicher Fehler. Damit diese Tests möglichst effizient durchgeführt werden können und dennoch möglichst viele Bereiche der mobilen Anwendungen abdecken wird ein grundlegendes Konzept benötigt. Diese Konzepte gibt es bereits zum Beispiel für Desktop Software und Systeme. Allerdings müssen diese an die Architektur des Android Systems angepasst werden. Die Arbeit beschreibt den Vorgang eines klassischen Penetration Tests und die nötige Vorbereitung. Hierzu wird der Prozess in einzelne Schritte unterteilt und deren Inhalt erklärt. Anschließend wird ein Konzept speziell für das testen von Android Anwendungen vorgestellt.

Ziel

Das Ziel der Arbeit ist ein Konzept oder die Herangehensweise für Penetration Tests von Android Anwendungen zu erarbeiten sowie Unterschiede zu klassischen Penetration Tests aufzuzeigen. Um dies zu ermöglichen werden aktuelle Konzepte analysiert und deren Nutzen für das Testen von mobilen Anwendungen beurteilt. Anhand der daraus gewonnenen Informationen soll ein Konzept speziell für das Testen von Android Anwendungen entstehen und die Unterschiede zu klassischen Testkonzepten aufgezeigt werden.

Ergebnis

Durch die Analysierung bereits vorhandener Konzepte von anderen Systemen konnten wertvolle Informationen zum Aufbau eines solchen Konzepts gewonnen werden. In Kombination mit den Details des Android Systems konnte ein speziell angepasstes Konzept beschrieben werden.

Ausblick

Aufgrund des theoretischen Schwerpunktes der Arbeit, fehlt die praktische Umsetzung des Konzepts und die daraus folgenden Änderungen um in der Praxis erfolgreich angewendet werden zu können.

FH-Betreuer: Dipl.-Ing., Dipl.-Ing. Christoph Lang-Muhr, BSc