Mobilitätsdienste

Ein Unternehmen, welches Mobilitätsdienstleistungen bereitstellt, baut sein Geschäftsmodell auf einer App auf. Im Rahmen der Kooperation wurde gefordert die App und die zugehörigen Web-Services einem Penetrationstest auf Applikationsebene zu unterziehen.

Es wurde sowohl die iOS, als auch die Android App analysiert. Hierzu wurden präparierte Smartphones bzw. Tablets verwendet und die Apps analysieren zu können. Zusätzlich wurde mit Hilfe eines Intercepting Proxies die Kommunikation der Webservices untersucht und diese anschließend angegriffen.

Durch die Überprüfung konnten mehrere Funktionen identifiziert werden, die Probleme beim Berechtigungsmanagement aufwiesen. Auch administrative Webservices waren unzureichend geschützt. Das Unternehmen konnte die Sicherheitslücken schließen und nun eine Kooperation mit einem größeren Unternehmen eingehen.