Sicherheit mobiler Anwendungen
Was ist Sicherheit mobiler Anwendungen?
Sicherheit mobiler AnwendungenDie Praxis, iOS- und Android-Apps so zu entwerfen, zu entwickeln und zu testen, dass Nutzerdaten geschuetzt sind und Reverse Engineering sowie Laufzeit-Manipulation erschwert werden.
Mobile App Security umfasst die Schutzmassnahmen ueber den gesamten Lebenszyklus einer App: sichere Programmierung, sichere Speicherung (Keychain, Android Keystore), Certificate Pinning, Code-Obfuskation, Anti-Tamper-Pruefungen und korrekte Nutzung der Plattform-Sandbox und Berechtigungen. Dazu gehoert auch die Haertung der vom Client genutzten Backend-APIs. Bedrohungen sind Reverse Engineering des Binaries, Laufzeit-Hooking mit Frida oder Objection, SSL Stripping in feindlichen Netzen sowie Missbrauch schwacher Deep Links oder exportierter Komponenten. OWASP MASVS und MASTG liefern eine pruefbare Baseline; App Store und Google Play setzen zusaetzliche Pruefungen durch.
● Beispiele
- 01
Eine Banking-App nutzt Certificate Pinning und den Android Keystore, sodass ein gerootetes Geraet keine Session-Token extrahieren kann.
- 02
Eine iOS-App verweigert den Start, wenn sie einen Jailbreak oder einen Frida-Server auf bekannten Ports erkennt.
● Häufige Fragen
Was ist Sicherheit mobiler Anwendungen?
Die Praxis, iOS- und Android-Apps so zu entwerfen, zu entwickeln und zu testen, dass Nutzerdaten geschuetzt sind und Reverse Engineering sowie Laufzeit-Manipulation erschwert werden. Es gehört zur Kategorie Mobile Sicherheit der Cybersicherheit.
Was bedeutet Sicherheit mobiler Anwendungen?
Die Praxis, iOS- und Android-Apps so zu entwerfen, zu entwickeln und zu testen, dass Nutzerdaten geschuetzt sind und Reverse Engineering sowie Laufzeit-Manipulation erschwert werden.
Wie funktioniert Sicherheit mobiler Anwendungen?
Mobile App Security umfasst die Schutzmassnahmen ueber den gesamten Lebenszyklus einer App: sichere Programmierung, sichere Speicherung (Keychain, Android Keystore), Certificate Pinning, Code-Obfuskation, Anti-Tamper-Pruefungen und korrekte Nutzung der Plattform-Sandbox und Berechtigungen. Dazu gehoert auch die Haertung der vom Client genutzten Backend-APIs. Bedrohungen sind Reverse Engineering des Binaries, Laufzeit-Hooking mit Frida oder Objection, SSL Stripping in feindlichen Netzen sowie Missbrauch schwacher Deep Links oder exportierter Komponenten. OWASP MASVS und MASTG liefern eine pruefbare Baseline; App Store und Google Play setzen zusaetzliche Pruefungen durch.
Wie schützt man sich gegen Sicherheit mobiler Anwendungen?
Schutzmaßnahmen gegen Sicherheit mobiler Anwendungen kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
Welche anderen Bezeichnungen gibt es für Sicherheit mobiler Anwendungen?
Übliche alternative Bezeichnungen: App-Sicherheit, Anwendungssicherheit fuer Mobilgeraete.
● Verwandte Begriffe
- appsec№ 056
Anwendungssicherheit (AppSec)
Die Disziplin, Software so zu entwerfen, zu entwickeln, zu testen und zu betreiben, dass sie über ihren gesamten Lebenszyklus Missbrauch, Manipulation und unbefugten Zugriff abwehrt.
- mobile-security№ 693
Sandbox fuer mobile Apps
Vom Betriebssystem erzwungene Grenze, die festlegt, auf welche Dateien, IPC und APIs eine mobile App zugreifen darf, damit eine kompromittierte App nicht ohne Weiteres an die Daten anderer Apps kommt.
- mobile-security№ 692
App-Berechtigungen unter iOS und Android
Vom Betriebssystem erzwungene Kontrollen, die das Einverstaendnis des Nutzers verlangen, bevor eine App auf sensible Ressourcen wie Standort, Mikrofon, Kamera, Kontakte, Fotos, SMS oder Hintergrundsensoren zugreift.
- mobile-security№ 562
Jailbreak (iOS)
Verfahren, mit dem Apples Code-Signaturpruefung und Sandbox-Beschraenkungen auf einem iPhone oder iPad umgangen werden, um nicht von Apple freigegebene Software zu installieren.
- mobile-security№ 948
Rooting (Android)
Erlangen uneingeschraenkter Superuser-Rechte (root) auf einem Android-Geraet unter Umgehung der Schutzmechanismen von Linux-Kernel, SELinux und der Verified-Boot-Kette.
- mobile-security№ 047
Android-Malware
Schadsoftware fuer das Android-Betriebssystem, die meist ueber sideloaded APKs, Dropper-Apps in Google Play oder kompromittierte Drittanbieter-Stores verbreitet wird.
● Siehe auch
- № 697Mobile Device Management (MDM)
- № 696Mobile Application Management (MAM)
- № 123Bring Your Own Device (BYOD)
- № 382Enterprise Mobility Management (EMM)
- № 695Angriff auf den Mobile App Store
- № 810Pegasus-Spyware (NSO Group)
- № 517IMEI (International Mobile Equipment Identity)
- № 520IMSI (International Mobile Subscriber Identity)