Mobile Security: Android und iOS sicher konfigurieren und testen

“Ich benutze mein iPhone ja nur für E-Mail und Teams” - das ist die typische Antwort wenn Mitarbeiter nach Mobile Security gefragt werden. Aber genau das ist das Problem: E-Mail und Collaboration-Tools enthalten oft die sensibelsten Unternehmensdaten. Und Smartphones sind im Vergleich zu verwalteten Laptops oft schlecht gesichert.

Mobile Bedrohungslandschaft

Mobile-spezifische Bedrohungen:

1. Staatliche Spyware (Pegasus, Predator):
   Ziel:    Journalisten, Politiker, Führungskräfte, Aktivisten
   Methode: Zero-Click-Exploits (keine Benutzerinteraktion nötig!)
   Pegasus: iMessage, WhatsApp, iCloud als Einstiegspunkt
   Wer:     NSO Group (Israel), Intellexa (Griechenland/EU)
   Schutz:  iOS Lockdown Mode für Hochrisikogruppen!
   Erkennung: Amnesty Tech MVT (Mobile Verification Toolkit)

2. Malicious Apps (App-Store-Bypässe):
   Android: APK-Sideloading ohne Google Play
   iOS:     Enterprise-Zertifikate, TestFlight, Jailbreak-nötig
   Malware: Banking-Trojaner, Info-Stealer, SMS-Abgriff (MFA-Bypass!)
   Schutz:  MDM: nur genehmigte App-Stores erlauben

3. QR-Code-Phishing (Quishing):
   Methode: QR-Code statt URL in Phishing-Mail
   Warum:   E-Mail-Scanner scannen keine QR-Codes!
   Angriff: QR-Code → Mobile-Phishing-Seite → Microsoft Login
   Schutz:  URL-Scanner für QR-Codes + Awareness-Training

4. Evil Twin WLAN:
   Methode: Hotspot mit gleichem Namen wie Hotel-WLAN
   Angriff: Man-in-the-Middle für unverschlüsselten Traffic
   Schutz:  VPN auf Mobilgeräten (Always-On-VPN via MDM!)

5. Smishing (SMS-Phishing):
   Methode: SMS mit Link (Paket-Benachrichtigung, Bank-Alert)
   Zahlen:  Mobile User klicken 8× häufiger auf Phishing-Links als Desktop
   Schutz:  Awareness + SMS-Filterung (Apple/Google integriert)

6. SIM-Swapping:
   Methode: Angreifer übernimmt Telefonnummer durch Telekommunikations-Betrug
   Effekt:  SMS-MFA abgefangen (ganzer 2FA-Faktor kompromittiert!)
   Schutz:  Hardware-Token statt SMS-OTP (FIDO2!)
            SIM-Lock beim Mobilfunkanbieter aktivieren

7. Outdated OS:
   Zahlen:  30% aller Android-Geräte nutzen Android mit bekannten CVEs
   Schutz:  MDM erzwingt minimale OS-Version (Compliance Policy!)

MDM / EMM Konfiguration

Mobile Device Management - Kernkonfiguration:

Microsoft Intune (beliebt in Enterprise):

Compliance Policy (iOS):
  Minimale OS-Version: iOS 17.0 (aktuell genug!)
  Passcode-Anforderungen:
    → Minimale Länge: 8 Zeichen (6 ist zu wenig!)
    → Komplexität: Buchstaben + Zahlen (kein reines PIN!)
    → Max. Versuche vor Wipe: 10
    → Passcode-Alter: max. 365 Tage
  Jailbreak erkannt: NON-COMPLIANT (Zugang gesperrt!)
  Device Risk: Microsoft Defender for Endpoint Risk Level = Low

Compliance Policy (Android):
  Android Enterprise (Work Profile empfohlen):
    → Arbeitsprofil und Privatprofil getrennt (BYOD!)
    → IT sieht NUR Arbeitsprofil (DSGVO-Konformität!)
    → Privat-Apps: nicht sichtbar für IT
  Minimale OS-Version: Android 13+
  Root erkannt: NON-COMPLIANT
  Google Play Protect: aktiviert und aktuell

Configuration Policy für iOS (Security-Settings):
  → Passcode Required: YES
  → Minimum passcode length: 8
  → Allow simple passcode: NO
  → Required passcode type: alphanumeric
  → Auto-lock: 5 minutes
  → Allow Siri while device is locked: NO (Sprachassistent-Bypass!)
  → Safari Autofill for Password: NO (Passwort-Manager stattdessen!)
  → Allow Screenshot: NO (für hochsensible Apps wie Banking)

Configuration Policy (Netzwerk):
  Per-App-VPN:
    → Teams, Outlook, SharePoint: immer über Unternehmens-VPN
    → Private Apps: nicht über VPN (kein Split-Tunnel-Problem)
    → Protokoll: IKEv2 oder WireGuard

Always-On VPN (für Corporate-Owned Devices):
  → Alle Verbindungen immer über VPN (auch bei privatem WLAN)
  → VPN-Gateway: eigener Server oder ZTNA-Lösung
  → Ausnahmen: nur bei vertrauenswürdigen Netzwerken (Corporate WLAN)

App-Konfiguration (Managed Apps):
  → Daten nur zwischen verwalteten Apps (kein Copy-Paste zu privaten Apps!)
  → Open-In Einschränkung: aus verwalteten Apps nur in verwaltete Apps
  → Outlook: SaveAs deaktivieren (kein Speichern auf privatem iCloud!)
  → Kein Backup zu privatem Cloud (iCloud, Google Drive)

Jamf Pro (Apple-only):
  → Stärke: native Apple-Integration, DEP (Device Enrollment Program)
  → Script-Deployment: Security-Scripts auf Macs
  → App-Distribution: intern entwickelte Apps
  → Remote Wipe: verlorenesGerät sofort löschen

BYOD vs. Corporate-Owned:
  BYOD mit Work Profile (Android) / Managed Apps (iOS):
    ✓ Mitarbeiter behalten Privatsphäre
    ✓ IT sieht nur Unternehmens-Daten
    ✗ Weniger Kontrolle über Gerät (kein Jailbreak-Wipe möglich)
    → Geeignet für: normale Mitarbeiter, Sales

  Corporate-Owned:
    ✓ Vollständige IT-Kontrolle
    ✓ Wipe bei Verlust/Kündigung
    ✗ Höhere Kosten
    → Geeignet für: IT-Admins, Hochrisiko-Rollen, KRITIS

Mobile App Security (OWASP MASVS)

OWASP Mobile Application Security Verification Standard:

MASVS Kategorien:

MASVS-STORAGE (sichere Datenspeicherung):
  ✗ SCHLECHT: Passwörter in SharedPreferences (Android) - unverschlüsselt!
  ✗ SCHLECHT: Tokens in localStorage / NSUserDefaults (iOS)
  ✓ GUT: Android Keystore System (Hardware-gesichert!)
  ✓ GUT: iOS Keychain (Hardware-Sicherheitselement)

  Android Keystore Nutzung (Java):
  KeyStore keyStore = KeyStore.getInstance("AndroidKeyStore");
  keyStore.load(null);
  KeyGenerator keyGen = KeyGenerator.getInstance(KeyProperties.KEY_ALGORITHM_AES, "AndroidKeyStore");
  keyGen.init(new KeyGenParameterSpec.Builder("MyKey",
      KeyProperties.PURPOSE_ENCRYPT | KeyProperties.PURPOSE_DECRYPT)
      .setBlockModes(KeyProperties.BLOCK_MODE_GCM)
      .setEncryptionPaddings(KeyProperties.ENCRYPTION_PADDING_NONE)
      .build());
  SecretKey key = keyGen.generateKey();

MASVS-CRYPTO (Kryptographie):
  ✗ SCHLECHT: AES im ECB-Mode (Muster sichtbar!)
  ✗ SCHLECHT: MD5/SHA1 für Passwort-Hashing
  ✓ GUT: AES-256-GCM, ChaCha20-Poly1305
  ✓ GUT: Argon2id für Passwörter

MASVS-AUTH (Authentifizierung):
  ✓ Certificate Pinning: App akzeptiert nur eigenes Server-Zertifikat
    → Verhindert: Man-in-the-Middle durch Proxy/Burp Suite!
    → Android: TrustManager mit gepinntem Zertifikat
    → iOS: URLSession mit pinnedCertificates
  ✓ Biometrie + Keychain: Fingerabdruck/Face ID entsperrt Keychain-Schlüssel
  ✗ Root/Jailbreak Detection: App startet nicht auf gerootetem Gerät
    → Angreifer-Note: RootCloak, Frida können Root-Detection umgehen

MASVS-NETWORK (Netzwerksicherheit):
  ✓ Certificate Pinning
  ✓ TLS 1.2+ für alle Verbindungen
  ✓ HSTS (HTTP Strict Transport Security)
  ✗ SCHLECHT: self-signed certificates in Produktion
  ✗ SCHLECHT: HTTP cleartext (nie!)

MASVS-PLATFORM (Platform Interaction):
  ✓ Deep Links validieren (Phishing via App-Link)
  ✓ Intent-Sniffing verhindern (Android: explicit Intents)
  ✓ WebView sicher konfigurieren (kein JavaScript, kein FileAccess)
  ✗ Exported Activities ohne Authentifizierung (Android)

MASVS-CODE (Code Quality):
  ✓ Code-Obfuskation (ProGuard/R8 für Android, Swift Obfuskation)
  ✓ Debugging deaktiviert in Release-Build
  ✓ Anti-Tampering: App prüft eigene Integrität
  ✗ SCHLECHT: Hardcoded API-Keys im App-Bundle (APK decompilen ist trivial!)
    → API-Keys im APK: in < 5 Minuten extrahiert
    → Lösung: Backend-API als Proxy, nie direkte Drittanbieter-Keys im Client!

Mobile Penetrationstest

OWASP Mobile Security Testing Guide (MSTG) als Grundlage:

Android App-Test (Grundlegende Checks):

1. APK extrahieren und analysieren:
  adb backup -noapk com.firma.app  # Backup extrahieren
  # Oder:
  adb shell pm path com.firma.app  # Pfad zur APK
  adb pull /data/app/com.firma.app.apk

  jadx-gui com.firma.app.apk  # Dekompilieren!
  # Zeigt Java-Quellcode (annähernd!)
  # Suchen: API-Keys, Credentials, Unsichere Funktionen

2. Dynamische Analyse mit Frida:
  frida -U com.firma.app  # USB-Verbindung zu Android
  # JavaScript Hooks für Security-Bypässe:

  # Certificate Pinning umgehen:
  Java.perform(function() {
    var TrustManager = Java.use('javax.net.ssl.X509TrustManager');
    TrustManager.checkServerTrusted.implementation = function(chain, authType) {
      // Pin-Prüfung überspringen
    };
  });

  # Root Detection umgehen:
  Java.perform(function() {
    var RootBeer = Java.use('com.scottyab.rootbeer.RootBeer');
    RootBeer.isRooted.implementation = function() { return false; };
  });

3. Traffic-Analyse (Burp Suite):
  → Android: Proxy-Settings auf Burp zeigen (192.168.1.1:8080)
  → Burp CA installieren → SSL-Interception möglich
  → Certificate Pinning: Frida-Script zum Bypass + dann Burp

iOS App-Test:

1. IPA extrahieren:
  ipatool download -b com.firma.app --decrypted
  # Oder via SSH auf Jailbreak-Gerät

2. Statische Analyse:
  otool -L Firma.app/Firma  # Linked Libraries
  strings Firma.app/Firma | grep -E "(http|api|key|pass|token)"  # Quick Check
  class-dump Firma.app/Firma  # Klassen und Methoden

3. Objection (Frida-Wrapper, sehr praktisch):
  objection -g com.firma.app explore
  ios sslpinning disable  # Certificate Pinning deaktivieren
  ios keychain dump  # Keychain-Einträge anzeigen

Typische Mobile-Findings:
  □ Sensitive Daten in SharedPreferences/NSUserDefaults unverschlüsselt
  □ API-Keys hardcoded im App-Bundle
  □ Certificate Pinning fehlt oder bypassbar
  □ Root/Jailbreak nicht erkannt
  □ Insecure Local Storage (Fotos, PDFs in /sdcard ohne Verschlüsselung)
  □ Logging sensibler Daten (LogCat, NSLog in Produktion!)
  □ Unsichere IPC (Exported Activities, Broadcast Receiver ohne Permission)
  □ Deeplink-Hijacking möglich (Intent ohne Validierung)

Mobile Security ist kein “nice to have” - in Zeiten von Remote Work und Cloud-basierten Anwendungen sind Smartphones vollwertige Unternehmens-Endpunkte. AWARE7 prüft mobile Applikationen (Android/iOS) nach OWASP MSTG und MASVS, und berät bei MDM-Implementierungen für BYOD und Corporate-Owned-Szenarien.

Mobile App Penetrationstest anfragen | Penetrationstest Mobile Apps