Home/Servizi/MAST - Mobile Application Security Testing

Mobile Application Security Testing (MAST)

Il Mobile Application Security Testing è un servizio di sicurezza applicativa, Application Security Assessment, proposto da ISGroup per le piattaforme iOS e Android, adattato a seconda del linguaggio di programmazione utilizzato per lo sviluppo di app native (Objective-C, Swift, Java, Kotlin) o di app realizzate con framework ibridi (come ad esempio React, React Native, Cordova, Xamarin, Titanium Appcelerator, Ionic, PhoneGap).

Sono molte le aziende che hanno investito in applicazioni mobile, ma spesso c’è poca attenzione alla sicurezza in quanto sono meno note le vulnerabilità e le relative possibilità di attacco da parte di un utente malevolo.

Il team di ISGroup si tiene costantemente aggiornato riguardo gli ultimi sviluppi di Mobile Security, sia dal punto di vista dell’attaccante che dello sviluppatore che deve difendere l’applicazione, in modo da fornire il miglior servizio di analisi possibile per i propri clienti.

Tramite l’utilizzo di tecniche manuali e tool avanzati, il tester è in grado di effettuare un’analisi statica e runtime dell’applicazione, in modo da bypassare eventuali limitazioni o logiche di business implementate.

Le applicazioni mobile sono infatti per loro natura soggette anche a vulnerabilità di tipo client, legate all’interazione dell’applicazione con il sistema operativo e il device sottostante. Ad esempio l’applicazione potrebbe non controllare se il telefono o tablet è jailbroken o rooted, oppure memorizzare dati sensibili o importanti in maniera non sicura.

Infine, l’auditor si occupa della verifica delle interazioni tra l’applicazione e il server remoto, le quali possono essere soggette a vulnerabilità simili a quelle delle applicazioni web (controlli di autenticazione ed autorizzazione, SQL Injection).

Richiedi preventivo per
Mobile Application Security Testing (MAST)
Fissa un appuntamento

Oppure chiamaci al
(+39) 045 4853232

scrivi su WhatsApp

Servizio MAST - Mobile Application Security Testing

Descrizione

Un’attività di Mobile Application Security Testing rappresenta la simulazione di un attaccante nei confronti di un’applicazione scaricabile direttamente dagli store ufficiali (AppStore e PlayStore) oppure distribuita in modo alternativo per uso interno.

Il test può essere svolto in modalità Grey Box oppure Black Box.
Nel primo caso il tester analizza il codice dell’applicazione che il cliente ha fornito in modo da individuare in modo esaustivo le vulnerabilità che potrebbero essere altrimenti nascoste dall’offuscamento del codice, per poi proseguire con l’analisi runtime lato client dell’applicazione e delle interazioni con i servizi esposti lato server.

Nel caso di analisi di tipo Black box, il tester si trova invece nella situazione di un attaccante che analizza l’applicazione scaricata dallo store, come un normale utente.

Poiché il codice dell’applicazione client si trova sul dispositivo, il tester effettua un tentativo di reverse engineering in modo da verificare la presenza e la robustezza di eventuali contromisure implementate per prevenire il furto di proprietà intellettuale nonché la conoscenza di eventuali meccanismi di sicurezza che, con questa modalità, potrebbero essere bypassati.

Successivamente viene verificata la possibilità di manipolazione dell’applicazione durante la sua esecuzione ed infine, manualmente e con l’utilizzo di tool, vengono testati tutti i parametri individuati nelle richieste scambiate tra client e server.

A seconda del tipo di applicazione e del livello di accesso ottenuto, si cercherà quindi di modificare il flusso dell’applicazione e di manipolare e sfruttare a proprio vantaggio i dati salvati in locale e sul server remoto.

Output

Il Report è un documento semplice e dettagliato che riassume i risultati dell'attività ed è suddiviso in tre differenti aree:

Executive Summary
All'inizio del Report e di lunghezza non superiore ad una pagina, è il riassunto di alto livello destinato al Management.

Vulnerability Details
La parte tecnica che descrive nel dettaglio le vulnerabilità riscontrate e il loro impatto, ed è dedicata al Security Manager.

Remediation Plan
Sezione tecnica con istruzioni precise su come risolvere le problematiche identificate, dedicata agli sviluppatori.

Video MAST - Mobile Application Security Testing

PodCast Spotify MAST - Mobile Application Security Testing

PodCast Apple MAST - Mobile Application Security Testing

Lavorare con noi è semplice, basta chiamare il numero (+39) 045 4853232 o inviare un e-mail per conoscerci e discutere delle tue necessità nell'IT Security.

Richiedi preventivo per
Mobile Application Security Testing (MAST)

Pubblicazioni

Una breve raccolta delle pubblicazioni, dei materiali e delle presentazioni che i componenti del nostro staff hanno avuto modo di produrre o tenere nel corso della loro carriera.

A dimostrazione che per noi l'IT Security non è solamente un mercato ma una grande passione.

Le nostre pubblicazioni

Ricerche

La ricerca è un'attività affascinante che pone l'esperto di sicurezza informatica di fronte a scenari e sfide sempre nuove. Da anni anche tramite la nostra incarnazione non commerciale, ush.it - a beautiful place, ci dedichiamo alla pubblicazione di advisory, sviluppo di exploit e bug hunting.

Le nostre ricerche

Formazione e Training

Forti dell'esperienza accumulata nelle attività svolte fino ad oggi, dei risultati della nostra ricerca e della conoscenza delle problematiche e soluzioni della sicurezza informatica, proponiamo vari percorsi di formazione per figure che svolgono attività offensive (auditor, penetration tester) o difensive (amministratori di rete, sviluppatori).

La Formazione

ISGroup SRL
Via Cantarane, 14
37129 Verona VR
CF e P.IVA 04164220230
REA VR-397513

Contatti

Azienda certificata ISO 9001 e ISO 27001

Cybersecurity made in Italy

© 2005-2024 ISGroup SRL. Tutti i diritti riservati.

Sitemap  Privacy Policy  Cookie Policy