Audyt bezpieczeństwa aplikacji

Na czym polega audyt bezpieczeństwa aplikacji mobilnych?

Audyt bezpieczeństwa aplikacji mobilnych umożliwia wykrycie luk, mogących umożliwić hakerom sforsowanie zabezpieczeń aplikacji: zdalne wykonanie kodu na serwerze, kradzież sesji, zmianę lub usunięcie danych, czy dokonywanie operacji z konta użytkownika. W ramach audytu przetestujemy również czy aplikacja umożliwia uzyskanie dostępu lub manipulację Twoimi zasobami.

Sprawdzimy bezpieczeństwo:

• sposobów przechowywania danych w aplikacji,
• mechanizmów autoryzacji w aplikacji,
• komponentów serwerowych (backend),
• komunikacji między aplikacją, a serwerem,
• metod płatności (jeżeli występują).

Audyt bezpieczeństwa aplikacji wykonujemy w oparciu o światowe standardy zawarte między innymi w OWASP Mobile Application Security Verification Standard.

Korzyści z audytu bezpieczeństwa aplikacji mobilnych. Dlaczego warto?

Audyt bezpieczeństwa aplikacji mobilnej to niezbędny krok, aby zagwarantować użytkownikom możliwość swobodnego korzystania z aplikacji bez obawy o bezpieczeństwo swoich danych i urządzenia.

Audyt bezpieczeństwa aplikacji mobilnych jest szczególnie zalecany w przypadku:

• Aplikacji bankowych i płatniczych – Użytkownicy, którzy powierzają Ci swoje finanse, chcą mieć pewność, że są one bezpieczne. Audyt bezpieczeństwa pozwoli Ci zyskać pewność, że należycie dbasz o interes swoich klientów.
• Komunikatorów internetowych – Jeżeli Twoja aplikacja umożliwia komunikację pomiędzy użytkownikami, dzięki audytowi bezpieczeństwa zweryfikujesz, czy przesyłane dane nie są narażone na nieautoryzowany dostęp.
• Aplikacji połączonych ze sklepem internetowym – Modyfikacja cen produktów, generowanie kodów rabatowych, wyciek danych klientów lub dokonanie zamówienia w ich imieniu przez osobę z zewnątrz to poważne naruszenie zaufania do sklepu internetowego. Audyt bezpieczeństwa aplikacji pomoże Ci zabezpieczyć się przed takimi sytuacjami.

Etapy przeprowadzania audytu bezpieczeństwa aplikacji mobilnych

1. Konsultacja przed audytem bezpieczeństwa:

Przed przystąpieniem do pracy omówimy z Tobą zakres i termin testów penetracyjnych. Poprosimy też o przekazanie niezbędnych informacji i dostępów.

2. Sprawdzenie aplikacji mobilnej pod kątem znanych podatności:

Zweryfikujemy jak zareaguje Twoja aplikacja w konfrontacji ze znanymi typami ataków. Zidentyfikujemy luki w zabezpieczeniach umożliwiające nieautoryzowany dostęp i manipulację aplikacją przez osoby z zewnątrz.

3. Sprawdzenie sposobu współpracy urządzenia mobilnego z aplikacją:

Zweryfikujemy jakie informacje i gdzie aplikacja zapisuje na urządzeniu mobilnym. Upewnimy się, że sposób przechowywania i procesowania danych odpowiada wysokim standardom.

4. Weryfikacja wykrytych problemów:

Przyjrzymy się bliżej znalezionym problemom. Ustalimy ich stopień zagrożenia oraz oszacujemy priorytet naprawy.

5. Raport z prac:

Na koniec otrzymasz od nas podsumowanie wykonanych prac: szczegółowy opis podatności, które wykazał audyt oraz zalecenia, które pozwolą je wyeliminować

6. Restesty:

Po wdrożeniu zaleceń z raportu powtórnie przetestujemy Twoją aplikację, aby upewnić się, że wyeliminowane zostały wszystkie wykryte podczas audytu problemy.