Mobile Application Penetration Test (MAPT)

La Mobile Application Penetration Test (chiamata con l’acronimo MAPT), identifica una metodologia orientata allo svolgimento di test di sicurezza su applicazioni per dispositivi digitali, il cui fine è capire i punti di debolezza che consentirebbero ad un eventuale hacker di penetrare all’interno di un ambiente mobile.

Mobile security

Mobile Application Penetration Test (MAPT)

 

La Mobile Application Penetration Test (chiamata con l’acronimo MAPT), identifica una metodologia orientata allo svolgimento di test di sicurezza su applicazioni per dispositivi digitali, il cui fine è capire i punti di debolezza che consentirebbero ad un eventuale hacker di penetrare all’interno di un ambiente mobile. Principalmente il MAPT serve per misurare la vulnerabilità della app, interessando il lato applicazione e il lato server. B4web riesce a simulare un eventuale attacco informatico il cui scopo è capire meglio dove è possibile incrementare la sicurezza della stessa App Mobile. In pratica il servizio viene effettuato al termine della fase di sviluppo dell’applicazione stessa, prima del lancio ufficiale, in modo che sia possibile cambiare l’architettura, modificare i codici e il design qualora vi fossero problemi. Lo sviluppatore, grazie al test, riesce preventivamente ad essere al corrente delle problematiche che interessano l’applicazione, avendo così l’opportunità di risolverle prima di fornirla definitivamente al cliente, rendendola più sicura, affidabile e meno vulnerabile. Siccome B4web sviluppa app, implementa il lavoro con questo importantissimo servizio che non tutti svolgono alla stessa maniera.

Le fasi del Mobile Application Penetration Test

Preparazione: in questa fase è necessario capire quali sono i fattori di successo della applicazione, poiché presumibilmente potrebbero essere fonte di problemi se non curati con la giusta attenzione. La raccolta di informazioni è determinante.

Valutazione: devono valutarsi i punti di debolezza riscontrati dalla analisi delle informazioni e successivamente dal tentativo di penetrazione all’interno della applicazione da parte di chi svolge il test.

Misurazione del Vantaggio: la fase in cui si misura il vantaggio determina ciò che è ideale per l’eventuale malintenzionato il quale, una volta entrato nel sistema, cercherà di trarne il massimo vantaggio.

Report: vengono forniti i risultati del test e il team di lavoro analizza le diverse informazioni raccolte durante le quattro fasi.

Come avviene il Mobile Application Penetration Test

L’esito dell’esecuzione del test dipende moltissimo dalla qualità delle informazioni raccolte. Solo così è possibile scoprire gli angoli più reconditi e nascosti della applicazione, cercando di individuare una possibile vulnerabilità e avere il massimo successo del test. Il concetto è abbastanza intuitivo: se devo “combattere” contro qualcuno, devo acquisire le maggiori informazioni possibili sullo scenario, ovvero sul “campo di battaglia”, per capire come è costruito.

Il tester dovrà comportarsi proprio come fosse un hacker e quindi sarà una persona differente dallo sviluppatore dell’app. Il suo compito è la raccolta di informazioni relative all’applicazione, alla struttura, all’azienda che ha contribuito allo sviluppo dell’applicazione stessa, la quale deve essere riconosciuta dalla metodologia. Vengono in seguito valutati alcuni file e parametri per capire eventuali errori di scrittura dei file system. Infine vi è l’applicazione della fase di sfruttamento, ossia della possibilità per il tester di sfruttare a proprio vantaggio la penetrazione all’interno dell’applicazione. Attraverso le parti più vulnerabili, dunque, il soggetto penetra nella app e cerca di trarne vantaggio il più possibile. Infine, tutto viene rivisto e analizzato insieme per capire come “correre ai ripari” chiudendo le falle manifestatesi. Una pratica importante è il rilascio della documentazione al cliente finale, un modo per testimoniare la consegna di una app sicura e affidabile.

Il metodo delle OWASP Mobile Top 10 usato da B4web

B4web utilizza il metodo OWASP Mobile Top 10 grazie a tecnici certificati eMAPT che simuleranno degli attacchi alle applicazioni mobili, sia Android che iOS. OWASP Top 10 è un elenco che rappresenta una valida risorsa chi sviluppa applicazioni, favorendo l’incremento del livello di sicurezza. Applicazioni che possono scaricarsi da pubblici archivi sono necessariamente meno controllate e quindi possono avere codici ispezionabili più facilmente, diventando così obiettivo di pirati informatici. Grazie a questo elenco è possibile avere indicazioni sulle 10 falle che sono state rilevate maggiormente nelle applicazioni attualmente sul mercato e questo è in continuo aggiornamento. Si hanno indicazioni relative al server, ma anche alle mancate sicurezze dell’applicazione. Servendosi di tale metodologia è possibile fornire un test sempre più completo, approfondito e soprattutto affidabile.

Come opera B4web

La nostra procedura verifica la vulnerabilità lato client (ovvero relativa all’applicazione) e anche lato server. Infatti è importante verificare anche questo parte nascosta al pubblico, ma comunque chiave per il funzionamento della applicazione dato che sul server girano i servizi web API. Ecco quali sono le vulnerabilità che il test praticato da B4web va a svelare.

Lato applicazione

  • Insecure Storage
  • Canali di comunicazione deboli
  • Autenticazione insicura
  • Crittografia debole
  • Qualità e robustezza del codice
  • Anti Reverse Engineering

Lato server

  • SQL injection
  • Server-side request forgery (SSRF)
  • XML External Entity (XXE) Processing
  • Remote Code Execution
  • Problemi legati all'accesso es. Insecure Direct Object References (IDOR)

Ciò significa che affidando la tua realizzazione app a B4web otterrai non solo una applicazione funzionante, fruibile e piacevole dal punto di vista estetico, ma anche sicura, che è l’aspetto più importante, soprattutto oggi, quando i dati sono diventati parte di quello che è il vero patrimonio di un’azienda. 

Scopri di più sulla cyber security 

Sei interessato?

Contattaci ora per avere maggiori informazioni!

Contattaci per un preventivo Gratuito!