800 800 070
Disponibile H24
Via S. Pietro All’Orto 9, Milano
Via dei Gracchi 32, Roma
Via dei Gracchi 32, Roma
Email info@argocyber.it
Mobile Application Penetration Testing
0
Totale attacchi informatici nel 2020
+
0
%
attacchi informatici rispetto al 2014
+
%
campagne di Phishing / social enginering rispetto al 2018
0
media di attacchi informatici mensile
Argo cyber security
Perchè sceglierci
Argo Cyber è un progetto ad alta componente tecnologica e specialistica unico nel suo genere, nasce e si sviluppa all’interno di Argo Investigazioni mutuandone l’esperienza trentennale nel campo delle indagini private e dell’Intelligence.Avvalendosi dell’apporto di professionisti altamente qualificati e ricorrendo ad avanzate tecnologie informatiche individua soluzioni innovative e personalizzate per i propri clienti.
Mobile Application Penetration Testing
Nel mondo della tecnologia in continua evoluzione, le applicazioni mobile stanno diventando sempre più diffuse che mai, e questa evoluzione ha creato una gamma completa di nuovi attacchi che non erano rilevanti nel mondo delle applicazioni web classiche.
Durante il nostro Mobile Application Penetration Testing vengono simulati una moltitudine di attacchi, sia attacchi applicativi che attacchi più specifici dedicati ai dispositivi mobile. Il test simula un vero attaccante e permette di avere una panoramica dettagliata dei rischi e degli impatti sul business a seguito della compromissione dell’applicazione e degli eventuali dati sensibili/critici gestiti dalla stessa.
Le nostre
certificazioni
Argo Cyber investe costantemente nelle certificazioni per migliorare il livello dei servizi offerti e
garantire così il massimo della professionalità e della sicurezza ai propri clienti.
Mobile Application Penetration Testing
Fasi dell' attività
Il nostro MAPT consta di quattro fasi: Analisi Statica, Analisi Dinamica, Analisi dei flussi di rete e Reporting. Il tutto parte con l’installazione completa del pacchetto applicativo (il binario dell’applicazione mobile: ad esempio app.apk, app.ipa, etc.) per poi effettuare una verifica completa di tutte le varie funzionalità applicative disponibili.
Si inizia analizzando tutti i metadati del pacchetto applicativo e viene successivamente eseguito un reverse engineering del binario dell’applicazione mobile (laddove possibile) al fine di ottenerne lo pseudo codice sorgente ed identificare eventuali dati sensibili memorizzati al suo interno.
Si prosegue l’attività analizzando dove i dati sensibili sono richiesti, come si muovono all’interno dell’applicazione, come sono utilizzati e così via. In particolare, si esaminerà dove e come l’applicazione gestisce le informazioni sensibili, se l’applicazione sta utilizzando correttamente le API native e se le credenziali dell’utente, i token di sessione, le informazioni personali e/o qualsiasi altro dato sensibile venga memorizzato in maniera sicura. Come parte di questa analisi, si effettueranno controlli che esamineranno la memoria per garantire che i dati sensibili siano adeguatamente cancellati dall’applicazione. Durante questa fase di test, si tenterà di accedere alle funzionalità nascoste, oltre a tentare di scalare i privilegi. Altro punto di osservazione di grande importanza sarà la convalida dei dati: verrà identificata e verificata qualsiasi porta aperta, interfaccia, canale IPC e qualsiasi altra modalità di ingresso che potrà essere sfruttata da un attaccante. Viene costruito un diagramma di come queste componenti lavorano insieme; un diagramma che verrà utilizzato durante il prosieguo dell’assessment.
Inoltre, si esaminerà la comunicazione tra l’applicazione mobile e tutti i sistemi/servizi remoti. L’analisi del traffico si concentrerà sullo scoprire le vulnerabilità relative alla divulgazione di informazioni, alla manomissione dei dati in transito, alla gestione dell’autenticazione, della sessione e altre vulnerabilità correlate.
Il test viene eseguito su dispositivi mobile fisici, nonché tramite l’utilizzo di emulatori – a seconda del tipo di applicazione e della funzionalità. L’attività adopera come punto di riferimento quanto definito dall’OWASP Top 10 Mobile Vulnerabilities.
Al termine del MAPT viene redatto un Report dettagliato contenente le vulnerabilità individuate (con relativo dettaglio del software/servizio interessato, screenshot, tipo di vulnerabilità, livello di criticità, e possibili azioni di remediation).
