Skip to content
CyberXplore - Xplore the Unseen
Penetration Testing

Penetrationstests für mobile Anwendungen

Finden und beheben Sie die Speicher-, Krypto- und API-Schwachstellen in Ihren iOS- und Android-Apps, bevor Angreifer sie per Reverse Engineering aufdecken.

Typische Dauer
1-2 weeks
Team
2 senior testers
Bericht
5 business days after testing
Retest
Free, included
Beispiel · Illustrativ
9:41

Mobile Assessment

com.example.app

LIVE
68/100

Risk score

High exposure

5 High11 Med8 Low
Severity summary24 issues
  • Plaintext data in local storageCWE-312
  • Hardcoded API key in binaryCWE-798
  • Missing TLS certificate pinningCWE-295

OWASP MASVS · Static + Dynamic · anonymized sample

Was ist Mobile-App-Pentest?

Ein Penetrationstest für mobile Anwendungen ist eine manuelle Sicherheitsbewertung, bei der zertifizierte Tester Ihre iOS- und Android-Apps - sowie die Backend-APIs, mit denen sie kommunizieren - auf Schwachstellen wie unsichere Datenspeicherung, schwache Transportverschlüsselung und fehlerhafte Authentifizierung untersuchen. CyberXplore testet nach dem OWASP-MASVS-Standard mit der MASTG-Methodik und kombiniert statische Analyse, Laufzeit-Instrumentierung auf gejailbreakten und gerooteten Geräten sowie praktisches Reverse Engineering, um Probleme aufzudecken, die automatisierte Scanner nicht erfassen können. Jeder Auftrag wird von Senior-Experten geführt und manuell durchgeführt und umfasst priorisierte Handlungsempfehlungen zur Behebung, einen kostenlosen Nachtest sowie ein Attestierungsschreiben für Kunden und Auditoren.

OWASP MASVSOWASP MASTGOWASP API Security Top 10NISTPTES

Warum CyberXplore

  • Ausschließlich Senior-Tester (OSCP, CRTP, CREST)
  • Zertifiziert nach ISO 27001 & ISO 9001
  • Kostenloser Retest + Attestierungsschreiben
  • Maßgeschneiderter Scope und Angebot innerhalb von 24 Stunden

Warum es wichtig ist

Mobile Apps laufen auf Geräten, die Sie nicht kontrollieren - jeder kann Ihre APK oder IPA dekompilieren, den lokalen Speicher untersuchen und den Datenverkehr abfangen, sodass Geheimnisse und schwache Kontrollen schnell offengelegt werden.

Unsichere Datenspeicherung ist die häufigste mobile Schwachstelle: Zugangsdaten, Tokens und personenbezogene Daten, die im Klartext in Datenbanken, Shared Preferences, Keychains oder Logs liegen, lassen sich auf einem gerooteten oder gejailbreakten Gerät trivial wiederherstellen.

Die eigentliche Angriffsfläche ist die Backend-API - fehlerhafte Autorisierung und IDOR hinter einem mobilen Frontend erlauben Angreifern den Zugriff auf die Daten anderer Nutzer, sobald die clientseitigen Prüfungen umgangen sind.

App Stores, SOC 2, PCI DSS und Sicherheitsprüfungen von Kunden verlangen zunehmend unabhängige Nachweise aus mobilen Tests, bevor eine Freigabe oder ein Onboarding erfolgt.

An Branchenstandards ausgerichtet: OWASP MASVS · OWASP MASTG · OWASP API Security Top 10 · NIST · PTES

Unsere Methodik

  1. 01

    Scoping & Threat Modeling

    Wir legen Plattformen (iOS, Android oder beide), Build-Typen, Benutzerrollen und Testkonten fest und erfassen anschließend Datenflüsse, sensible Funktionen und die Backend-APIs, von denen die App abhängt.

  2. 02

    Statische Analyse & Reverse Engineering

    Wir dekompilieren die IPA/APK, prüfen Quell- oder Bytecode, untersuchen Manifest, Entitlements und fest codierte Geheimnisse und analysieren, wie die App Daten speichert und ihre Logik schützt.

  3. 03

    Dynamische & Laufzeittests

    Auf gejailbreakten und gerooteten Geräten instrumentieren wir die App mit Frida und Objection, fangen TLS-Verkehr ab, umgehen Jailbreak-/Root- und Certificate-Pinning-Schutzmechanismen und beobachten das reale Verhalten zur Laufzeit.

  4. 04

    Backend-API-Tests

    Wir testen die serverseitigen APIs, die die App nutzt, auf fehlerhafte Authentifizierung, Autorisierung und IDOR, Injection und Missbrauch der Geschäftslogik - dort, wo clientseitige Kontrollen bedeutungslos sind.

  5. 05

    Reporting

    Sie erhalten einen verständlichen Bericht, zugeordnet zu OWASP MASVS, mit Schweregradbewertungen, Nachweisen, Reproduktionsschritten und entwicklerfertigen Handlungsempfehlungen für App und Backend.

  6. 06

    Unterstützung bei der Behebung & Nachtest

    Wir unterstützen Ihre Entwickler bei den Korrekturen und testen jeden Fund erneut, um zu bestätigen, dass er behoben ist - kostenlos inklusive, mit einem Attestierungsschreiben nach Abschluss.

Was wir testen

  • Unsichere lokale Datenspeicherung (Datenbanken, Shared Preferences, Plists, Keychain, Cache, Logs)
  • Unsichere Kommunikation & TLS (schwache Cipher, fehlendes oder umgehbares Certificate Pinning)
  • Authentifizierung, Sitzungsverwaltung & Token-Speicherung
  • Backend-API-Autorisierung, IDOR & Fehler in der Geschäftslogik
  • Reverse Engineering, Code-Manipulation & Resilienzkontrollen
  • Jailbreak-/Root-Erkennung & Abwehr von Laufzeit-Instrumentierung
  • Kryptografie (schwache Algorithmen, fest codierte Schlüssel, vorhersehbare Zufallswerte)
  • Plattformmissbrauch (unsichere IPC, exportierte Komponenten, Deep Links, WebViews, Zwischenablage)
  • Fest codierte Geheimnisse, API-Schlüssel & sensible Daten im Binary
  • Kommunikation zwischen Apps & Datenabfluss über Backups und Screenshots

Was Sie erhalten

  • Management Summary für Führungsebene und Stakeholder
  • Detaillierte technische Funde, zugeordnet zu OWASP MASVS, mit CVSS-Schweregrad und Nachweisen
  • Schritt-für-Schritt-Reproduktion für jede Schwachstelle über App und Backend hinweg
  • Priorisierte, entwicklerfertige Handlungsempfehlungen für iOS und Android
  • Kostenloser Nachtest mit Behebungsnachweis (Remediation Verification Letter)
  • Attestierungsschreiben für Kunden, App Stores, Auditoren und Compliance
Beispiel-Deliverable

Was Sie in Ihrem Bericht sehen

Jedes Engagement endet mit einem klaren, priorisierten Bericht: nach Schweregrad bewertete Findings mit CVSS-Scores, betroffenen Assets und Remediation-Status - plus kostenlosem Retest. Die folgenden Zahlen sind illustrativ.

Findings nach Schweregrad

24 total
Critical
0
High
5
Medium
11
Low
8
High · CVSS 7.5CX-302

Sensitive data stored in plaintext (SharedPreferences)

CWE-312com.example.app (Android)Open
High · CVSS 7.4CX-307

Hardcoded API key / secret in app binary

CWE-798com.example.appFixed

Illustratives Muster: mobile application penetration test - anonymisiert auf example.com.

Möchten Sie den vollständigen anonymisierten Beispielbericht? Wir legen ihn Ihrem Angebot bei.

Beispielbericht ansehen

Bereit, den Scope Ihres Projekts festzulegen?

Sagen Sie uns, was getestet werden soll - Sie erhalten innerhalb von 24 Stunden einen maßgeschneiderten Scope und ein Angebot.

Angebot anfordern
Beweise, keine Versprechen

Teams, die mit uns getestet haben

0+
Durchgeführte Sicherheitsprojekte
0+
Gefundene & gemeldete Schwachstellen
0+
Abgesicherte Organisationen
0+
Jahre offensive Expertise

Kumulierte Werte aus der gesamten Projekthistorie unseres Teams

Unter NDA geteilt · Details anonymisiert
CyberXplore found critical issues three previous vendors missed. The report was the clearest we've ever received - our engineers fixed everything in a week, and the free retest confirmed every fix held.
23 critical findings surfaced
Head of Security
European SaaS platform · Series C · 450 employees
B2B SaaS
Unter NDA geteilt · Details anonymisiert
Senior testers, fast turnaround, and a free retest that actually proved our fixes worked. They made our SOC 2 audit painless.
SOC 2 passed first attempt
VP of Engineering
Series B FinTech · Payments platform
FinTech

Zertifizierungen unserer Tester

  • OSCP
  • CRTP
  • CREST
  • CEH
  • eWPTX
  • ISO 27001
  • ISO 9001

Häufig gestellte Fragen

Ja. Wir testen native iOS- und Android-Apps sowie plattformübergreifende Frameworks wie React Native, Flutter und Xamarin. Wir können eine einzelne Plattform oder beide in einem Auftrag prüfen, da jede ihr eigenes Speicher-, IPC- und Signaturmodell hat.

Bereit zu sehen, was Angreifer sehen?

Erhalten Sie innerhalb von 24 Stunden einen maßgeschneiderten Scope und ein Angebot. Kein Druck, kein Fachjargon - nur Klarheit über Ihr Risiko.

  • Kostenloser Nachtest für jeden Fix
  • Scope und Angebot innerhalb von 24 Stunden
  • Ausschließlich Senior-Tester
  • ISO 27001
  • ISO 9001
  • OSCP
  • CRTP
  • CREST
Angebot anfordern