Für die TWINSOFT GmbH & Co. KG wurde ein Penetrationstest der BioShare Authenticator App und dem zugrunde liegenden Backend durchgeführt.
Zielvorstellung dieses Penetrationstests war es, die von der TWINSOFT entwickelte BioShare Authenticator Applikation auf Schwachstellen hin zu untersuchen. Weiterhin sollte das durch die API angesprochene Backend inspiziert werden, um ein vollständiges Bild der Angriffsfläche zu erhalten.
Zur Gewinnung von Informationen wurde mit einer Sicherheitsanalyse der iOS-Applikation gestartet. Weiterhin wurde eine Auswertung für das verwendete Backend unter Verwendung gängiger Test-Standards wie z. B. OWASP API Top 10 durchgeführt. Um den Code der App genauestens zu untersuchen, wurden abschließend Reverse Engineering und Debugging Tools verwendet.
Herausforderung
Die iOS-Applikation zeichnet sich durch die Verwendung von biometrischen Merkmalen zur Authentifizierung aus. Ein Penetrationstest für diese Applikation erfordert einen umfangreichen Zugriff auf das Betriebssystem. Eine weitere Herausforderung war das Umgehen der Sicherheitsmechanismen, um den vollständigen Datenverkehr mitzulesen.
Lösung
Gerade bei einem so weit verbreiteten Authentifizierungssystem steht die Sicherheit an erster Stelle. Aus diesem Grund wurde ein umfangreicher Penetrationstest durchgeführt, der Mobile- und Webanwendungen gemeinsam betrachtet.
Ergebnis & Erfolg
- Sicherheitsrelevante Einsicht in aktuelle Umsetzung der Umgebung gegeben
- Empfehlungen für weitere Härtungen der Applikation erhalten
- iOS-Applikation durch erhaltene Informationen noch sicherer als zuvor
