Finden und beheben Sie die Speicher-, Krypto- und API-Schwachstellen in Ihren iOS- und Android-Apps, bevor Angreifer sie per Reverse Engineering aufdecken.
Ein Penetrationstest für mobile Anwendungen ist eine manuelle Sicherheitsbewertung, bei der zertifizierte Tester Ihre iOS- und Android-Apps - sowie die Backend-APIs, mit denen sie kommunizieren - auf Schwachstellen wie unsichere Datenspeicherung, schwache Transportverschlüsselung und fehlerhafte Authentifizierung untersuchen. CyberXplore testet nach dem OWASP-MASVS-Standard mit der MASTG-Methodik und kombiniert statische Analyse, Laufzeit-Instrumentierung auf gejailbreakten und gerooteten Geräten sowie praktisches Reverse Engineering, um Probleme aufzudecken, die automatisierte Scanner nicht erfassen können. Jeder Auftrag wird von Senior-Experten geführt und manuell durchgeführt und umfasst priorisierte Handlungsempfehlungen zur Behebung, einen kostenlosen Nachtest sowie ein Attestierungsschreiben für Kunden und Auditoren.
OWASP MASVSOWASP MASTGOWASP API Security Top 10NISTPTES
Warum CyberXplore
Ausschließlich Senior-Tester (OSCP, CRTP, CREST)
Zertifiziert nach ISO 27001 & ISO 9001
Kostenloser Retest + Attestierungsschreiben
Maßgeschneiderter Scope und Angebot innerhalb von 24 Stunden
Warum es wichtig ist
Mobile Apps laufen auf Geräten, die Sie nicht kontrollieren - jeder kann Ihre APK oder IPA dekompilieren, den lokalen Speicher untersuchen und den Datenverkehr abfangen, sodass Geheimnisse und schwache Kontrollen schnell offengelegt werden.
Unsichere Datenspeicherung ist die häufigste mobile Schwachstelle: Zugangsdaten, Tokens und personenbezogene Daten, die im Klartext in Datenbanken, Shared Preferences, Keychains oder Logs liegen, lassen sich auf einem gerooteten oder gejailbreakten Gerät trivial wiederherstellen.
Die eigentliche Angriffsfläche ist die Backend-API - fehlerhafte Autorisierung und IDOR hinter einem mobilen Frontend erlauben Angreifern den Zugriff auf die Daten anderer Nutzer, sobald die clientseitigen Prüfungen umgangen sind.
App Stores, SOC 2, PCI DSS und Sicherheitsprüfungen von Kunden verlangen zunehmend unabhängige Nachweise aus mobilen Tests, bevor eine Freigabe oder ein Onboarding erfolgt.
An Branchenstandards ausgerichtet: OWASP MASVS · OWASP MASTG · OWASP API Security Top 10 · NIST · PTES
Unsere Methodik
01
Scoping & Threat Modeling
Wir legen Plattformen (iOS, Android oder beide), Build-Typen, Benutzerrollen und Testkonten fest und erfassen anschließend Datenflüsse, sensible Funktionen und die Backend-APIs, von denen die App abhängt.
02
Statische Analyse & Reverse Engineering
Wir dekompilieren die IPA/APK, prüfen Quell- oder Bytecode, untersuchen Manifest, Entitlements und fest codierte Geheimnisse und analysieren, wie die App Daten speichert und ihre Logik schützt.
03
Dynamische & Laufzeittests
Auf gejailbreakten und gerooteten Geräten instrumentieren wir die App mit Frida und Objection, fangen TLS-Verkehr ab, umgehen Jailbreak-/Root- und Certificate-Pinning-Schutzmechanismen und beobachten das reale Verhalten zur Laufzeit.
04
Backend-API-Tests
Wir testen die serverseitigen APIs, die die App nutzt, auf fehlerhafte Authentifizierung, Autorisierung und IDOR, Injection und Missbrauch der Geschäftslogik - dort, wo clientseitige Kontrollen bedeutungslos sind.
05
Reporting
Sie erhalten einen verständlichen Bericht, zugeordnet zu OWASP MASVS, mit Schweregradbewertungen, Nachweisen, Reproduktionsschritten und entwicklerfertigen Handlungsempfehlungen für App und Backend.
06
Unterstützung bei der Behebung & Nachtest
Wir unterstützen Ihre Entwickler bei den Korrekturen und testen jeden Fund erneut, um zu bestätigen, dass er behoben ist - kostenlos inklusive, mit einem Attestierungsschreiben nach Abschluss.
Was wir testen
Unsichere lokale Datenspeicherung (Datenbanken, Shared Preferences, Plists, Keychain, Cache, Logs)
Plattformmissbrauch (unsichere IPC, exportierte Komponenten, Deep Links, WebViews, Zwischenablage)
Fest codierte Geheimnisse, API-Schlüssel & sensible Daten im Binary
Kommunikation zwischen Apps & Datenabfluss über Backups und Screenshots
Was Sie erhalten
Management Summary für Führungsebene und Stakeholder
Detaillierte technische Funde, zugeordnet zu OWASP MASVS, mit CVSS-Schweregrad und Nachweisen
Schritt-für-Schritt-Reproduktion für jede Schwachstelle über App und Backend hinweg
Priorisierte, entwicklerfertige Handlungsempfehlungen für iOS und Android
Kostenloser Nachtest mit Behebungsnachweis (Remediation Verification Letter)
Attestierungsschreiben für Kunden, App Stores, Auditoren und Compliance
Beispiel-Deliverable
Was Sie in Ihrem Bericht sehen
Jedes Engagement endet mit einem klaren, priorisierten Bericht: nach Schweregrad bewertete Findings mit CVSS-Scores, betroffenen Assets und Remediation-Status - plus kostenlosem Retest. Die folgenden Zahlen sind illustrativ.
Findings nach Schweregrad
24 total
Critical
0
High
5
Medium
11
Low
8
High · CVSS 7.5CX-302
Sensitive data stored in plaintext (SharedPreferences)
CWE-312com.example.app (Android)Open
High · CVSS 7.4CX-307
Hardcoded API key / secret in app binary
CWE-798com.example.appFixed
Illustratives Muster: mobile application penetration test - anonymisiert auf example.com.
Medium · CVSS 6.5CX-313
Missing TLS certificate pinning
CWE-295com.example.appOpen
Möchten Sie den vollständigen anonymisierten Beispielbericht? Wir legen ihn Ihrem Angebot bei.
Kumulierte Werte aus der gesamten Projekthistorie unseres Teams
Unter NDA geteilt · Details anonymisiert
“CyberXplore found critical issues three previous vendors missed. The report was the clearest we've ever received - our engineers fixed everything in a week, and the free retest confirmed every fix held.”
23 critical findings surfaced
HS
Head of Security
European SaaS platform · Series C · 450 employees
B2B SaaS
Unter NDA geteilt · Details anonymisiert
“Senior testers, fast turnaround, and a free retest that actually proved our fixes worked. They made our SOC 2 audit painless.”
SOC 2 passed first attempt
VE
VP of Engineering
Series B FinTech · Payments platform
FinTech
Zertifizierungen unserer Tester
OSCP
CRTP
CREST
CEH
eWPTX
ISO 27001
ISO 9001
Häufig gestellte Fragen
Ja. Wir testen native iOS- und Android-Apps sowie plattformübergreifende Frameworks wie React Native, Flutter und Xamarin. Wir können eine einzelne Plattform oder beide in einem Auftrag prüfen, da jede ihr eigenes Speicher-, IPC- und Signaturmodell hat.