Audyt bezpieczeństwa aplikacji
Na czym polega audyt bezpieczeństwa aplikacji mobilnych?
Audyt bezpieczeństwa aplikacji mobilnych umożliwia wykrycie luk, mogących umożliwić hakerom sforsowanie zabezpieczeń aplikacji: zdalne wykonanie kodu na serwerze, kradzież sesji, zmianę lub usunięcie danych, czy dokonywanie operacji z konta użytkownika. W ramach audytu przetestujemy również czy aplikacja umożliwia uzyskanie dostępu lub manipulację Twoimi zasobami.
Sprawdzimy bezpieczeństwo:
- sposobów przechowywania danych w aplikacji,
- mechanizmów autoryzacji w aplikacji,
- komponentów serwerowych (backend),
- komunikacji między aplikacją, a serwerem,
- metod płatności (jeżeli występują).
Audyt bezpieczeństwa aplikacji wykonujemy w oparciu o światowe standardy zawarte między innymi w OWASP Mobile Application Security Verification Standard.
Korzyści z audytu bezpieczeństwa aplikacji mobilnych. Dlaczego warto?
Audyt bezpieczeństwa aplikacji mobilnej to niezbędny krok, aby zagwarantować użytkownikom możliwość swobodnego korzystania z aplikacji bez obawy o bezpieczeństwo swoich danych i urządzenia.
Audyt bezpieczeństwa aplikacji mobilnych jest szczególnie zalecany w przypadku:
- Aplikacji bankowych i płatniczych – Użytkownicy, którzy powierzają Ci swoje finanse, chcą mieć pewność, że są one bezpieczne. Audyt bezpieczeństwa pozwoli Ci zyskać pewność, że należycie dbasz o interes swoich klientów.
- Komunikatorów internetowych – Jeżeli Twoja aplikacja umożliwia komunikację pomiędzy użytkownikami, dzięki audytowi bezpieczeństwa zweryfikujesz, czy przesyłane dane nie są narażone na nieautoryzowany dostęp.
- Aplikacji połączonych ze sklepem internetowym – Modyfikacja cen produktów, generowanie kodów rabatowych, wyciek danych klientów lub dokonanie zamówienia w ich imieniu przez osobę z zewnątrz to poważne naruszenie zaufania do sklepu internetowego. Audyt bezpieczeństwa aplikacji pomoże Ci zabezpieczyć się przed takimi sytuacjami.
Etapy przeprowadzania audytu bezpieczeństwa aplikacji mobilnych
1. Konsultacja przed audytem bezpieczeństwa:
Przed przystąpieniem do pracy omówimy z Tobą zakres i termin testów penetracyjnych. Poprosimy też o przekazanie niezbędnych informacji i dostępów.
2. Sprawdzenie aplikacji mobilnej pod kątem znanych podatności:
Zweryfikujemy jak zareaguje Twoja aplikacja w konfrontacji ze znanymi typami ataków. Zidentyfikujemy luki w zabezpieczeniach umożliwiające nieautoryzowany dostęp i manipulację aplikacją przez osoby z zewnątrz.
3. Sprawdzenie sposobu współpracy urządzenia mobilnego z aplikacją:
Zweryfikujemy jakie informacje i gdzie aplikacja zapisuje na urządzeniu mobilnym. Upewnimy się, że sposób przechowywania i procesowania danych odpowiada wysokim standardom.
4. Weryfikacja wykrytych problemów:
Przyjrzymy się bliżej znalezionym problemom. Ustalimy ich stopień zagrożenia oraz oszacujemy priorytet naprawy.
5. Raport z prac:
Na koniec otrzymasz od nas podsumowanie wykonanych prac: szczegółowy opis podatności, które wykazał audyt oraz zalecenia, które pozwolą je wyeliminować
6. Restesty:
Po wdrożeniu zaleceń z raportu powtórnie przetestujemy Twoją aplikację, aby upewnić się, że wyeliminowane zostały wszystkie wykryte podczas audytu problemy.