Mobile App Security: Die besten Testing Tools 2022
Das App-Geschäft ist ein riesiger Markt: 2021 gab es laut State of Mobile 2022 Report 230 Milliarden App-Downloads weltweit. Um sich im Wettbewerb zu halten, sind die Entwicklerfirmen darauf angewiesen, dass ihre Apps funktionieren und sicher sind. Eine Vielzahl an Testing.-Tools soll das gewährleisten. Doch welches ist das richtige? Dieser Blogartikel stellt zehn der besten Mobile App Security Testing Tools 2022 vor.
Warum Mobile App Security Testing so wichtig ist
Mobile App Security Testing, kurz MAST, bezeichnet eine spezielle Form des IT-Security-Testings, das die Sicherheit von Apps gewährleisten soll. 67 Prozent der Apps bearbeiten Kundendaten, die nicht in die Hände von Unbefugten geraten sollten. Das ergab eine Umfrage des französisch-amerikanischen Security-Software-Anbieters Pradeo. Die gleiche Studie fand allerdings auch heraus, dass 25 Prozent der befragten Anbieter ihre Apps nicht selbst sichern. Das passende Testing Tool kann diese Lücke schließen.
Die besten Mobile App Security Testing Tools
Wir stellen Ihnen sechs kostenlose und vier kostenpflichtige Tools vor, mit denen Sie die Sicherheit mobiler Apps überprüfen können.
Quick Android Review Kit (QARK)
Das von LinkedIn entwickelte Quick Android Review Kit, kurz QARK, ist eines der beliebtesten Testing Tools für Android-Apps. Die statischen Analysen arbeiten mit dem Quellcode einer App und suchen darin nach Sicherheitslücken. Dafür kommuniziert das Tool direkt mit den Gefahrenbereichen der untersuchten Apps. QARK generiert umfang- und detailreiche Informationen zu den Sicherheitsrisiken einer App sowie Vorschläge, wie sich diese beheben lassen. Dabei legt es einen besonderen Fokus auf die spezifischen Probleme von Android-Versionen. Generell gibt es bei QARK Lösungen für zahlreiche Bereiche von Cybersicherheit, wie Tapjacking, Abhör-Techniken oder veraltete APIs. Ein großer Vorteil von QARK: Es ist ein Open-Source-Tool und damit kostenlos. Dafür ist es allerdings nicht ganz einfach einzurichten und hat keinen professionellen Support.
Mobile Security Framework (MobSF)
Bei MobSF handelt es sich um ein automatisiertes Sicherheitstesting-Framework für Android, iOS und Windows. Das kostenlose Open-Source-Programm kann sowohl statische als auch dynamische Sicherheitsanalysen ausführen. Hauptfeatures sind Malware-Analysen, Pentests, Sicherheitsbewertungen und Web API Sicherheitstests. MobSF unterstützt binären und verschlüsselten Quellcode. Anwender können mit dem Tool schon in der Entwicklungsphase Schwachstellen einer App aufdecken. MobSF ist auch selbst sicher: Es arbeitet in der lokalen Infrastruktur des Nutzers, sodass es keine sensiblen Daten in eine Cloud schicken muss. Das Tool lässt sich außerdem in DevSecOps-Kulturen und CI/CD-Pipelines integrieren.
Zed Attack Proxy
Zed Attack Proxy (ZAP) ist das Flaggschiff der Open Web Application Security Project (OWASP) Foundation. Das Tool wurde ursprünglich für Web-Applikationen entwickelt, ist jedoch heute bei vielen MAST-Testern beliebt. Gleichzeitig bleibt es auch für Nutzer mit weniger professionellen Testing-Kenntnissen ohne Weiteres anwendbar. ZAP ist Open Source, einfach installierbar und in 20 Sprachen verfügbar. Dank einer großen Community können Anwender auf ein aktives Support-Team zurückgreifen. ZAP arbeitet mit automatisierten Pentests, ist aber auch für manuelle Tests geeignet.
AppSweep
Die Open-Source-Lösung AppSweep basiert auf dem Java-Optimierer von Guardsquare. Obwohl das Tool kostenlos ist, enthält es eine ganze Bandbreite an Funktionen: Zum Beispiel kann es Redundanzen aufdecken oder Namen entschlüsseln. Besonders hervorzuheben sind die umfangreichen Berichte zu Fehlern im Code und wie diese zusammenhängen. Darüber hinaus empfiehlt AppSweep, wie erkannte Probleme am besten zu lösen sind. Nutzer können das Tool zu jedem Zeitpunkt des Entwicklungsprozesses benutzen und in bereits vorhandene DevOps-Kulturen integrieren. Allerdings eignet sich AppSweep ausschließlich für Android-Apps.
App Ray
App Ray hingegen ist für iOS- und Android-Apps anwendbar. Das Tool scannt Datenflüsse und den Netzwerkverkehr auf Sicherheitsprobleme. Es kann mehr als 80 verschiedene Schwachstellen in wenigen Minuten prüfen, ohne dabei auf den Quellcode zurückgreifen zu müssen. Die automatischen Sicherheitsscans produzieren eine Liste an Empfehlungen, um die Sicherheit des App-Systems zu stärken. App Ray ist individualisierbar. So lassen sich die für den Anwender dringendsten Sicherheitsprobleme priorisieren. Das Tool erkennt Bedrohungen, bevor ein Nutzer schädliche Apps installiert, lässt sich aber auch bereits in die Entwicklungsphase integrieren. App Ray ist kostenlos und bietet zahlreiche Testoptionen an: Tester können das Tool in der eigenen Infrastruktur oder in der Cloud nutzen. Es ermöglicht Analysen sowohl von Netzwerkverkehr als auch von verschlüsselten Daten. Dabei wendet App Ray statische, dynamische und verhaltensbasierte Verfahren an.
Drozer
Drozer ist ein Open-Source-Framework der Beratungsfirma für Cybersicherheit MWR InfoSecurity. Es funktioniert lediglich für Android-Geräte und Emulatoren. Allerdings arbeitet es dank Automatisierungen sehr schnell. Wenn Drozer eine Gefahrenzone erkannt hat, kommuniziert das Tool direkt mit diesem Bereich in der App. Ein großer Vorteil von Drozer liegt in dieser direkten Interaktion mit Apps auf dem Android-Gerät. Dafür agiert das Framework selbst in der Rolle einer App und nutzt die internen Mechanismen von Android zur Prozesskommunikation. Ein praktischer Hinweis: Der Tester installiert das Programm auf seiner Workstation und eröffnet auf dem zu testenden Android-Gerät eine Drozer-Session. Ein weiterer Pluspunkt des Frameworks: Drozer kann alle Bereiche der Cybersicherheit abdecken, da es sich für verschiedene Bedrohungsszenarien erweitern lässt.
ImmuniWeb MobileSuite
Die ImmuniWeb Mobile Suite kombiniert Mobile App Testing mit Backend-Testing in einer Cloud. Das Tool bietet statische und dynamische Tests an und liefert umsetzungsorientierte Berichte. Anders als andere Scanner basiert die ImmuniWeb Mobile Suite auf Künstlicher Intelligenz: Mithilfe von Maschine Learning testet sie alle möglichen Optionen, eine App zu verwenden, und sucht dabei nach Fehlern. Dank eines Rund-um-die-Uhr-Kundensupports können auch Anwender mit weniger umfangreichen Software- und KI-Kenntnissen das Tool nutzen. Die ImmuniWeb Mobile Suite ist kostenpflichtig. Allerdings kann der Nutzer flexible und individuelle Pakete buchen. Somit zahlt er nur für die Sicherheitstests, die er wirklich braucht. Eines dieser Pakete ist beispielsweise speziell auf Pentests ausgerichtet.
Datatheorem von Mobile Security
Datatheorem von Mobile Security ist ein kontinuierliches Monitoring-Tool für iOS und Android. Sein Engine Analyser kann statische und dynamische Tests, Backend-API-Sicherheitsanalysen und eine automatisierte Triage von Problemen vornehmen. Datatheorem erstellt Berichte mit Handlungsempfehlungen und sendet Nachrichten, wenn Probleme sofortiges Handeln bedürfen. Auch ohne Zugriff auf den Quellcode können Nutzer drei Profilarten anlegen: Manager, Sicherheit und Entwickler. Das Tool ist zwar kostenpflichtig, bietet aber eine kostenlose Testversion an.
NowSecure-Plattform
Die NowSecure-Plattform führt Securityscans nach den gängigen Standards wie OWASP, GDPR, CCPA, oder PCI aus. Nutzer können Android- und iOS-Apps während und nach der Entwicklung testen. Insgesamt lassen sich mit der NowSecure-Plattform bis zu 80 Prozent des mobilen Sicherheitstests automatisieren. Das Tool testet kontinuierlich: statisch, dynamisch und interaktiv. Es ist in der Infrastruktur des Kunden, als Cloud-Version, Web-Applikation, API oder in einer CI/CD-Pipeline nutzbar. Die Sicherheitsberichte und Checklisten mit Empfehlungen lassen sich exportieren. NowSecure ist kostenpflichtig, dafür aber niederschwellig und einfach anzuwenden.
Micro Focus
Micro Focus bietet vor allem Firmenlösungen in den Bereichen Sicherheits- und Risiko-Management, DevOps und hybrider IT an. Das Tool beinhaltet End-to-End-Security-Tests für mobile Apps auf diversen Geräten, Plattformen, Netzwerken und Servern sowie vier Betriebssystemen (Android, Windows, iOS und Blackberry). Anwender können mit Micro Focus statische Analysen und planmäßige automatische Sicherheitsscans ausführen. Mit dem Zusatz-Tool Fortify lassen sich zudem mobile Apps testen, bevor Kunden sie auf einem Gerät installieren. Einen zusätzlichen Service durch Mitarbeiter gibt es bei Fortify on demand: In Form eines Prepaid-Systems kauft der Nutzer ein Paket mit Credits. Für diese Credits führen professionelle Pentester die Sicherheitstests manuell durch.
Fazit
Entwickler finden auf dem Markt ein breites Angebot an Security Testing Tools, mit denen sie die Sicherheit von Mobile Apps regelmäßig überprüfen können. Die Tools verfügen über unterschiedliche Vorteile.
- Wer beispielsweise effiziente Tools für Android-Apps sucht, ist mit QARK, Drozer oder AppSweep gut beraten
- Soll das Tool für verschiedene Betriebssysteme zum Einsatz kommen, sind unter anderem Micro Focus und MobSF geeignet
- Besonders einfach anzuwenden sind ZAP, ImmuniWeb und NowSecure. Sie bieten zudem einen guten Support
- Möchte oder kann ein Anwender den Quellcode von Apps nicht herausgeben, eignen sich App Ray und Datatheorem
- MobSF, AppSweep und NowSecure sind hingegen ideal, um sie in DevOps-Kulturen oder CI/CD-Pipelines zu integrieren
- Legt ein Nutzer großen Wert darauf, das Testing Tool individuell anzupassen, treten besonders App Ray und ImmuniWeb hervor. Letzteres besticht zudem mit einem innovativen KI-Ansatz
Möchten auch Sie die Sicherheit Ihrer Apps im Auge behalten? Unsere ARINNAU-Qualitätsexperten unterstützen Sie bei der Auswahl des richtigen Mobile App Security Testing Tools.
Leopoldstraße 244
80807 München
Wir freuen uns, Ihnen bei Fragen weiterhelfen zu können.
