Mobile Application Penetration Testing

0
Attacchi informatici gravi a livello globale nel 2023
+ 0 %
Incremento degli attacchi rispetto al 2022
+ %
Phishing / Social enginering nel 2023
0
Media mensile attacchi gravi nel 2023

Mobile Application Penetration Testing

Nell’era della mobilità digitale le applicazioni per cellulari e smartphone sono sempre più diffuse, questa evoluzione ha generato una gamma completa di nuovi attacchi non rilevabili nel mondo delle applicazioni web classiche.

Argo Cyber è un punto di riferimento nel campo della sicurezza mobile. Il servizio di Mobile Application Penetration Testing, fondamentale per la sicurezza delle applicazioni mobili, viene eseguito con meticolosità e competenza, grazie alla profonda esperienza e all’avanguardia del nostro team.

Argo Cyber adotta un duplice approccio in fase di testing:

Automatico: utilizzando strumenti automatizzati, gli specialisti eseguono scansioni preliminari per rilevare vulnerabilità comuni e note. Questo passaggio permette di identificare rapidamente e in modo efficiente le minacce più diffuse, garantendo una copertura ampia e sistematica.
Manuale: oltre all’analisi automatica, i professionisti di Argo procedono con un esame manuale dettagliato delle mobile applications. Questo approccio permette di rilevare vulnerabilità più sofisticate e specifiche, utilizzando tecniche di attacco all’avanguardia e simulazioni di scenari di hacking reale.

Mobile Application Penetration Testing

Fasi dell'attività

Nello specifico Il nostro MAPT consta di quattro fasi: Analisi Statica, Analisi Dinamica, Analisi dei flussi di rete e Reporting.

Il tutto parte con l’installazione completa del pacchetto applicativo (il binario dell’applicazione mobile: ad esempio app.apk, app.ipa, etc.) per poi effettuare una verifica completa di tutte le varie funzionalità applicative disponibili. Si analizzano tutti i metadati del pacchetto applicativo e successivamente si esegue un reverse engineering del binario dell’applicazione mobile (laddove possibile) al fine di ottenerne lo pseudo codice sorgente e identificare eventuali dati sensibili memorizzati al suo interno.

Si prosegue l’attività analizzando dove i dati sensibili sono richiesti, come si muovono all’interno dell’applicazione, come sono utilizzati e così via.  In particolare, si esamina dove e come l’applicazione gestisce le informazioni sensibili, se l’applicazione sta utilizzando correttamente le API native e se le credenziali dell’utente, i token di sessione, le informazioni personali e qualsiasi altro dato sensibile viene memorizzato in maniera sicura. Come parte di questa analisi, si effettuano controlli che esaminano la memoria per garantire che i dati sensibili siano adeguatamente cancellati dall’applicazione. Durante questa fase di test, si tenta di accedere alle funzionalità nascoste, oltre a provare a scalare i privilegi.

Altro punto di osservazione di grande importanza è la convalida dei dati: viene identificata e verificata qualsiasi porta aperta, interfaccia, canale IPC e qualsiasi altra modalità di ingresso che potrebbe essere sfruttata da un attaccante. Viene costruito un diagramma di come queste componenti lavorano insieme; tale diagramma sarà utile durante il prosieguo dell’assessment.

Inoltre si esamina la comunicazione tra l’applicazione mobile e tutti i sistemi/servizi remoti. L’analisi del traffico si concentra sullo scoprire le vulnerabilità relative alla divulgazione di informazioni, alla manomissione dei dati in transito, alla gestione dell’autenticazione, della sessione e altri punti deboli correlati.

Al termine del MAPT viene redatto un report dettagliato contenente le vulnerabilità individuate (con relativo dettaglio del software/servizio interessato, screenshot, tipo di vulnerabilità, livello di criticità, e possibili azioni di remediation).

Standard di Riferimento e Aree di Test

Argo Cyber aderisce allo standard OWASP Mobile Application Security (MAS), al fine fornire un approccio standardizzato e approfondito. L’attività di testing, eseguita seguendo le check list previste da OWASP MASVS e OWASP MASTG, è effettuata su otto differenti aree di interesse:

  1. Storage
  2. Crypto
  3. Authentication
  4. Network
  5. Platform
  6. Code
  7. Resilience
  8. Privacy

Vulnerabilità come fughe di informazioni dovute a comunicazioni non sicure, debolezze nelle funzionalità crittografiche, problemi nell’autenticazione e autorizzazione, mancanze nella sicurezza dei codici e nella gestione delle sessioni e lacune in tema di privacy e data protection, sono, dunque, identificate e analizzate, al fine di poter offrire soluzioni di mitigazione.

Argo Cyber eleva il concetto di sicurezza delle Mobile Application, andando oltre il tradizionale Penetration Testing. Con un servizio che integra sia la diagnosi che la consulenza per la mitigazione, offre una soluzione completa, assicurando non solo l’identificazione ma anche la tempestiva risoluzione delle vulnerabilità, garantendo anche una protezione completa e duratura.

Argo cyber

Perchè sceglierci

Argo Cyber è un progetto ad alta componente tecnologica e specialistica unico nel suo genere. 

Avvalendosi dell’apporto di professionisti altamente qualificati e ricorrendo ad avanzate tecnologie informatiche, identifica e progetta soluzioni innovative e personalizzate per i propri clienti.

Contattaci per maggiori informazioni

800 800 070

Disponibile H24

Email info@argocyber.it

Le nostre
Certificazioni

Argo Cyber investe costantemente nelle certificazioni per migliorare il livello dei servizi offerti e
garantire così il massimo della professionalità e della sicurezza ai propri clienti.