MobSF: Das Mobile Security Framework in der Detailansicht
Mit dem Sicherheits-Framework MobSF können mobile Anwendungen auf Sicherheitsmängel untersucht werden. Wir schauen es uns an.
Vincent Heinen Abteilungsleiter Offensive Services TL;DR
MobSF (Mobile Security Framework) analysiert Android-, iOS- und Windows-Apps auf Schwachstellen und Schadcode - sowohl statisch als auch dynamisch. Das Open-Source-Tool unterstützt die Formate APK, IPA und APPX, läuft unter macOS, Windows und Linux und lässt sich über eine REST API in DevSecOps-Pipelines einbinden. Statische Analysen prüfen den Quellcode unabhängig von der Laufzeitumgebung, dynamische Tests analysieren die App während der Ausführung in Echtzeit. Schwächen sind False Positives und begrenzte Berichtsfunktionen. Die kommerzielle Alternative Dozer konzentriert sich dagegen primär auf dynamische Analysen und bietet keine vergleichbare grafische Benutzeroberfläche.
Diese Zusammenfassung wurde KI-gestützt erstellt (EU AI Act Art. 52).
Inhaltsverzeichnis (5 Abschnitte)
Bei MobSF handelt es sich um ein sogenanntes Sicherheitstest-Framework, welches vorwiegend im Bereich der mobilen Geräte zum Einsatz kommt. Es ist also prädestiniert für Android, iOS und Windows Apps. Mit dem Framework wird es möglich, Sicherheitsmängel entsprechend schnell und ganzheitlich innerhalb der mobilen Apps aufzuspüren. Egal, ob es sich um akuten Schadcode oder potenzielle Schwachstellen handelt.
Am besten eignet sich MobSF, um vor der eigentlichen Veröffentlichung von Android und iOS Apps zu prüfen, ob noch Sicherheitsprobleme vorhanden sind. Diese können dann zeitnah geschlossen werden, bevor es zum offiziellen Release kommt. Auf diese Weise wird verhindert, dass Sicherheitslücken mit in die Release-Version gelangen. Zumindest die offensichtlichen, denn ganz vermeiden lässt sich so etwas bei einem Launch natürlich eher selten.
Was ist das MobSF überhaupt?
MobSF steht für Mobile Security Framework. Im Grunde dient es dazu, wie in der Einleitung bereits erwähnt, Schadcode und Schwachstellen in Android und iOS Apps zu entdecken. Das ist notwendig geworden, da ein händisches Absuchen aufgrund der modernen Möglichkeiten kaum noch sinnvoll oder gar wirtschaftlich erscheint. Stattdessen werden automatisierte Tools eingesetzt, die derartige Probleme sicher und schnell erledigen können.
Das Mobile Security Framework übernimmt solch eine Arbeit und läuft sowohl unter MacOS als auch unter Windows oder Linux. Anschließend kann mit dem Framework automatisiert eine statische oder dynamische Analyse durchgeführt werden, die eventuell vorhandene Schwachstellen im Code offenbart. Dabei unterstützt es gängige Formate wie APK (Android), IPA (iOS) oder auch APPX (Windows).
Das Framework selbst präsentiert sich dabei als eine All-in-one-Lösung für Pentesting und Sicherheitsanalysen von mobilen Apps. Es ist als Open-Source-Software verfügbar und lässt sich über eine REST API problemlos in bestehende DevSecOps-Pipelines integrieren. Ein mächtiges Framework also, welches den meisten Ansprüchen mehr als genügen wird. Doch schauen wir uns MobSF noch einmal im Detail an.
Welche Vor- und Nachteile hat das MobSF?
Die größten Vorteile von dem Mobile Security Framework sind sicherlich innerhalb der grafischen Benutzeroberfläche zu finden. Die Bedienung funktioniert hervorragend, zumal sie den meisten Alternativen weit voraus ist. Außerdem hat sich MobSF als eine Art Standard herauskristallisiert, entsprechend gut kennen sich mittlerweile die meisten Anwender damit aus.
Nachteile sind aber auch zu finden. Die Software selbst ist zwar Open Source, verkauft aber teuren Enterprise Support und stammt aus Indien. Einige Funktionen fehlen Sicherheitsexperten zudem noch und es gibt oft False Positives, was im Vergleich dann ebenfalls eher negativ auffällt. Die Berichte könnten auch umfangreicher sein, aber das ist Kritik auf hohem Niveau.
Ein weiterer Vorteil hingegen ist, dass MobSF sowohl statische als auch dynamische Tests beherrscht. Im statischen Durchlauf führt das Tool eine quellcodebasierte Analyse durch, ist also unabhängig von der jeweiligen Laufzeitumgebung. Bei jeder neuen Code-Freigabe kann solch ein statischer Test erfolgen, um etwaige Schwachstellen und Sicherheitsrisiken zu erkennen.
Die dynamische Analyse testet die jeweilige App direkt während der Ausführung, also in Echtzeit und während des tatsächlichen Betriebs. Die dynamischen Durchläufe sind wichtig, um Sicherheitsrisiken im aktiven Zustand zu finden, wenn die App bereits final fertiggestellt ist.
Gibt es Alternativen?
Alternativen zum Mobile Security Framework gibt es, doch diese sind weit weniger gefragt als das Open Source Framework. Letzteres liegt primär daran, dass MobSF zufriedenstellend funktioniert und nicht nur aufgrund des Preises, sondern auch aufgrund der einfachen Nutzbarkeit extrem populär geworden ist. Einige Alternativen möchten wir dennoch aufzeigen.
Dozer: MobSF ist beliebt für seine statischen Analysen, während Dozer eigentlich eher für dynamische Sicherheitsanalysen bekannt ist. Also das genaue Gegenteil von dem, was MobSF entsprechend populär erscheinen lässt. Auch das Interface bzw. die grafische Benutzeroberfläche ist bei MobSF unserer Meinung nach eleganter gelöst worden. Dozer ist zudem nicht Open Source, sondern kommerziell und konzentriert sich zudem voll und ganz auf Android.
Fortify: Vergleichen wir Fortify mit MobSF fällt zunächst einmal auf, dass im Vergleich kaum False Positives gefunden werden. Das hingegen ist ein typischer Nachteil von MobSF, welches immer sehr viele Fehlalarme auslöst. Fortify legt zudem mehr Wert auf Compliance, was dazu führt, dass viele Richtlinien wie PCI DSS, DISA STIG und die OWASP Top 10 abgedeckt sind. Auch das ist bei MobSF nicht der Fall.
QARK: Das sogenannte Quick Android Review Kit konzentriert sich auf Android und wird, genau wie auch MobSF vorwiegend für statische Analysen verwendet. Allerdings in reiner Konsolenansicht, die nicht jeder gut findet. Ansonsten ist auch QARK Open Source und wird beständig entwickelt und verbessert. Der Schwachstellenbericht fällt umfangreicher und tiefgehender aus, was es Entwicklern leichter macht, entsprechende Probleme anzugehen und zu beheben.
Was ist Static Application Security Testing?
Es gibt im Bereich der Sicherheitstest verschiedene Standards und etablierte Verfahren, die immer wieder zum Einsatz kommen. Eines davon nennt sich Static Application Security Testing, kurz auch einfach als SAST bezeichnet. Am häufigsten werden die statischen Sicherheitstests dabei mit dem Tool MobSF durchgeführt.
Bei SAST handelt es sich um eine Sicherheitsprüfung, die auf Basis des Quellcodes abläuft. Der eigentliche Code einer App wird also entsprechend bewertet und analysiert, um potenzielle Probleme, Sicherheitsmängel und konkrete Schwachstellen zu entdecken. Der große Vorteil bei SAST ist, dass es auch schon sehr früh angewendet werden kann, also relativ zu Beginn eines Software Development Life Cycles. Das liegt daran, dass eine App nicht funktionsfähig sein muss, um sie zu scannen.
Das Static Application Security Testing, für welches MobSF geradezu berühmt ist, erfordert also keinen ausführbaren Code, sondern lediglich die Fragmente selbst. Erkannte Probleme können also noch während der Entwicklung und auch ganz zu Beginn behoben werden. So ist es ohne Weiteres möglich, Schwachstellen offenzulegen und diese vollständig zu umgehen, indem andere Ansätze für bestimmte Abschnitte gewählt werden.
MobSF ist ein effektiver Helfer
MobSF ist ein praktisches und schon lange etabliertes Tool, um statische oder dynamische Analysen von Apps auszuführen. Auf diese Weise werden Sicherheitslücken und Schwachstellen in Android, iOS und Windows Apps entdeckt. Darauffolgend können selbige behoben werden, bevor es zu einer Veröffentlichung der jeweiligen App kommt. Das ist viel wert, denn Sicherheitslücken sollten bei Release keine mehr vorhanden sein, zumindest im Idealfall. Irgendetwas rutscht zwar immer durch, doch am Ende sollte es möglichst wenig sein und keine offensichtlichen und typischen Sicherheitsaspekte betreffen.
Spezifische Tests kann MobSF dabei keine fahren. Das Mobile Security Framework ist vielmehr auf automatisierte Abläufe spezialisiert, die für jede Funktion einer Anwendung einzeln durchgeführt werden können. Es erfordert also einen manuellen Prozess, um Schwachstellen zu finden und sicherzustellen, dass alle Bereiche entsprechend abgearbeitet wurden.
Das Tool ist eine willkommene Hilfe beim Testen von Anwendungen, die für den mobilen Bereich bestimmt sind. Als einzige Lösung sollte es jedoch keinesfalls verwendet werden. Nichts ersetzt den manuellen Blick auf die Sache und einen Sicherheitsexperten, der versiert nach Lücken und Problemen sucht. Für den Anfang ist MobSF aber wunderbar geeignet.
Monatlicher Threat Report
Chris Wojzechowski bewertet einmal im Monat die aktuelle Bedrohungslage aus Sicht eines Informationssicherheitsexperten. Sein 30-köpfiges Team ist näher an realen Cyberbedrohungen dran als kaum jemand sonst — mit konkreten Handlungsempfehlungen, die Sie am nächsten Morgen umsetzen können.
Bestseller-Autor (Wiley-VCH) · M.Sc. Internet-Sicherheit · Bekannt aus Handelsblatt & WamS
Zuletzt behandelt
1x im Monat · Kein Spam · Jederzeit abbestellbar · Datenschutz
Nächster Schritt
Unsere zertifizierten Sicherheitsexperten beraten Sie zu den Themen aus diesem Artikel — unverbindlich und kostenlos.
Kostenlos · 30 Minuten · Unverbindlich
