800 800 070
Disponibile H24
Via S. Pietro All’Orto 9, Milano
Via dei Gracchi 32, Roma
Via dei Gracchi 32, Roma
Email info@argocyber.it
Nel mondo della tecnologia in continua evoluzione, le applicazioni mobile stanno diventando sempre più diffuse che mai, e questa evoluzione ha creato una gamma completa di nuovi attacchi che non erano rilevanti nel mondo delle applicazioni web classiche.
Durante il nostro Mobile Application Penetration Testing vengono simulati una moltitudine di attacchi, sia attacchi applicativi che attacchi più specifici dedicati ai dispositivi mobile. Il test simula un vero attaccante e permette di avere una panoramica dettagliata dei rischi e degli impatti sul business a seguito della compromissione dell’applicazione e degli eventuali dati sensibili/critici gestiti dalla stessa.
Argo Cyber investe costantemente nelle certificazioni per migliorare il livello dei servizi offerti e
garantire così il massimo della professionalità e della sicurezza ai propri clienti.
Il nostro MAPT consta di quattro fasi: Analisi Statica, Analisi Dinamica, Analisi dei flussi di rete e Reporting. Il tutto parte con l’installazione completa del pacchetto applicativo (il binario dell’applicazione mobile: ad esempio app.apk, app.ipa, etc.) per poi effettuare una verifica completa di tutte le varie funzionalità applicative disponibili.
Si inizia analizzando tutti i metadati del pacchetto applicativo e viene successivamente eseguito un reverse engineering del binario dell’applicazione mobile (laddove possibile) al fine di ottenerne lo pseudo codice sorgente ed identificare eventuali dati sensibili memorizzati al suo interno.
Si prosegue l’attività analizzando dove i dati sensibili sono richiesti, come si muovono all’interno dell’applicazione, come sono utilizzati e così via. In particolare, si esaminerà dove e come l’applicazione gestisce le informazioni sensibili, se l’applicazione sta utilizzando correttamente le API native e se le credenziali dell’utente, i token di sessione, le informazioni personali e/o qualsiasi altro dato sensibile venga memorizzato in maniera sicura. Come parte di questa analisi, si effettueranno controlli che esamineranno la memoria per garantire che i dati sensibili siano adeguatamente cancellati dall’applicazione. Durante questa fase di test, si tenterà di accedere alle funzionalità nascoste, oltre a tentare di scalare i privilegi. Altro punto di osservazione di grande importanza sarà la convalida dei dati: verrà identificata e verificata qualsiasi porta aperta, interfaccia, canale IPC e qualsiasi altra modalità di ingresso che potrà essere sfruttata da un attaccante. Viene costruito un diagramma di come queste componenti lavorano insieme; un diagramma che verrà utilizzato durante il prosieguo dell’assessment.
Inoltre, si esaminerà la comunicazione tra l’applicazione mobile e tutti i sistemi/servizi remoti. L’analisi del traffico si concentrerà sullo scoprire le vulnerabilità relative alla divulgazione di informazioni, alla manomissione dei dati in transito, alla gestione dell’autenticazione, della sessione e altre vulnerabilità correlate.
Il test viene eseguito su dispositivi mobile fisici, nonché tramite l’utilizzo di emulatori – a seconda del tipo di applicazione e della funzionalità. L’attività adopera come punto di riferimento quanto definito dall’OWASP Top 10 Mobile Vulnerabilities.
Al termine del MAPT viene redatto un Report dettagliato contenente le vulnerabilità individuate (con relativo dettaglio del software/servizio interessato, screenshot, tipo di vulnerabilità, livello di criticità, e possibili azioni di remediation).
Disponibile H24
Email info@argocyber.it
ARGO CYBER
H24 ☏ 800 800 070
Via dei Gracchi 32, 00192 Roma RM, Italia
Via dell’Arte 19, 00144 Roma RM, IT, (Spaces)
Via S. Pietro All’Orto 9, 20121 Milano MI, Italia
Via Legnano 27, 10128 Torino TO, Italia
60 Saint Martin’s Lane Covent Garden, Londra
Pagamenti Online o in Sede con tutte le più comuni Carte di Credito
Agenzia Investigativa Certificata per la Gestione del Sistema di Qualità (ISO 9001) e gestione per la Sicurezza delle Informazioni (ISO 27001)
Licenza Investigativa Protocollo Nr. 46633/Area | TER O.S.P. Rilasciata dalla Prefettura di Roma
P.I. 15137521009