En mobilapplikation er på mange måder sammenlignelig med en webapplikation. En mobilapplikation bestå som regel både af en front-end og back-end, med mange af de samme sårbarhedskategorier og fejlkonfigurationer som en webapplikation:
Udviklere af mobilapplikationer fokuserer i høj grad på et design der giver en god brugeroplevelse. Brugerne vil glædeligt benytte mobilapplikationen til at dele personlig information, men ingen af parterne stopper ofte op og overvejer de IT-sikkerhedsmæssige aspekter. Nordic Resilience tilbyder at gennemføre en penetrationstest af organisationens mobilapplikation (iOS og/eller Android), for at sandsynliggøre at den ikke indeholder nogen kendte sårbarheder eller fejl, som en angriber kan udnytte til at kompromittere organisationen eller organisationens brugere.
Nordic Resilience metodiske fremgangsmåde til penetrationstest af mobilapplikationer bygger på OWASPs Mobile Security Testing Guide. Denne guide indeholder to essentielle dele: Mobile Security Testing Guide (MSTG) og Mobile App Security Requirements and Verification (MASVS).
Mobile Security Testing Guide (MSTG) delen er en omfattende manual for bedst praksis vedr. sikkerhedstests af mobilapplikationer (iOS og Android). Den indeholder bl.a. følgende indhold:
OWASPs Mobile Application Security and Verification (MASVS) delen er en standard for mobilapplikationssikkerhed. Standarden benyttes af arkitekter og udviklere af mobilapplikationer, der ønsker at udvikle sikre mobilapplikationer. Standarden benyttes ligeledes af penetrationstestere, som et værktøj til at sikre en grundig gennemgang af mobilapplikationen, samt en sammenligningsgrundlag på tværs af sikkerhedstests.
Testmetodikken vil tage udgangspunkt i disse anerkendte standarder, samt kombinere automatiserede værktøjer med kreative manuelle tests. Det sikrer en grundig og professional gennemgang af mobilapplikationens sikkerhed.
Leverancen består af en samlet professionel rapport der indeholder alle observerede sårbarheder og fejlkonfigurationer. Rapporten vil være opdelt i hhv. Et ledelsesreferat og en teknisk sektion. Ledelsesreferatet henvender sig til bestyrelsen, ledelsen og andre interessenter. Den tekniske sektion indeholder uddybende tekniske forklaringer på hver enkelt sårbarheder eller fejlkonfiguration. Denne sektion henvender sig således til det tekniske personale der skal udbedre observationerne, eventuelt hos en underleverandør.
Alle observationer i rapporten vil blive manuelt tildelt en risikovurdering på baggrund af sandsynligheden og konsekvensen af den pågældende observation. Risikovurderingen kan enten modtages i form af en matrice med lav/medium/høj/kritisk risiko eller via CVSS-standarden. I begge tilfælde vil risikovurderingen assistere organisationen med prioriteringen af udbedringerne.
En penetrationstest af en mobilapplikation (iOS eller Android) tager typisk 5 dage, men dette afhænger af kompleksiteten af den pågældende mobilapplikation.