Ispitivanje sigurnosti mobilnih aplikacija vrlo je važan parametar u razvoju. Razvojem pametnih telefona, korisnici koriste svoje mobilne uređaje za osobne i poslovne potrebe, te se na njima nalaze mnogi osjetljivi podaci kao što su: korisnička imena i lozinke za razne servise, datoteke i informacije, privatne i/ili poslovne fotografije/dokumenti. Proizvođači za svoje uređaje razvijaju različite platforme, a s novim tehnologijama i mogućnostima vode bitku za prevlast na tržištu. Neke od najpopularnijih mobilnih platformi su: Symbian, Android OS, Apple iOS, Windows Mobile, Windows Phone i BlackBerry OS. Mobilne aplikacije tijekom instalacije i kasnijeg korištenje dodaju datoteke, mijenjaju unose registara i postavke konfiguracije, bilježe nove usluge i obavljaju druge aktivnosti. Upravo zato je iznimno bitno da te (legitimne) akcije napadači ne mogu iskoristiti kako bi narušili sigurnost mobilnih uređaja. Za kvalitetnu sigurnosnu provjeru važno je da se sve navedene komponente analiziraju i testiraju. Postoji nekoliko načina za postavljanje okoline za testiranje aplikacija i treba odabrati onu koja nabolje odgovara potrebama. Ispitivanje treba provesti detaljno i to nakon svake izmjene programskog koda. Provjeru trebaju provoditi stručnjaci koji dobro poznaju način rada programa namijenjenim mobilnim platformama i sigurnosne koncepte kako za cjelokupne IS, tako i za problematiku specifičnu mobilnim platformama. Ukoliko je moguće, osoba koja ispituje sigurnost ne bi trebala biti osoba koja je i razvila sami program.
Tržište korisničkih mobilnih aplikacija doživjelo je veliki porast u zadnjih nekoliko godina. Ove aplikacije su, između ostalog, pružile odgovarajući pristup bankovnim računima, podacima o kreditnim karticama, osobnim identifikacijskim informacijama, informacijama o putovanjima i osobnim računima elektroničke pošte.
Proizvođači razvijaju za svoje uređaje različite platforme, te s novim tehnologijama i mogućnostima vode bitku za prevlast na tržištu. Neke od najpopularnijih mobilnih platformi su: Symbian, Android OS, Apple iOS, Windows Mobile, Windows Phone i BlackBerry OS.
Nove aplikacije za mobilne uređaje prilikom instalacije i/ili korištenja dodaju datoteke, mijenjaju unose registara i postavke konfiguracije, bilježe nove usluge komuniciraju s javnim servisima na Internetu, koriste GPS lokatore i sl. Za dobar sigurnosni ispit iznimno je važno analizirati (i provjeriti!) sve navedene komponente. Analiza datoteke sustava i primjena obrnutog inženjeringa dva su vrlo važna aspekta obavljanja analize na strani klijenta.
Veliki broj mobilnih aplikacija današnjice napravljene su tako da ovise o Internet pregledniku i ne trebaju nikakve komponente za instalaciju. U tom kontekstu, dva zahtjeva u zaglavljima koja se često koriste za odluke o vraćanju sadržaja su : USER-AGENT I ACCEPT REQUEST HEADER. Svi web preglednici uključuju zaglavlje USER-AGENT u svojim zahtjevima. Ovo zaglavlje se koristi kako bi se identificirao web preglednik (npr. Internet Explorer, Mozilla Firefox, Opera, Google Chrome i drugi) i uređaj na kojem je web preglednik pokrenut. Svi web preglednici imaju uključeno zaglavlje „Accept“ u svoje zahtjeve. Ovo zaglavlje se koristi za obavještavanje poslužitelja o vrsti podataka koje preglednik može prihvatiti. Iako se može uspješno napraviti obrnuti inženjering aplikacije, stvaranje novog klijenta pomaže preusmjeriti promet aplikacije preko web posrednika tako da ga se može presresti, pogledati ponašanje aplikacije u detalje i promijeniti podatke za provjeru valjanosti podataka, autorizaciju i druga područja ispitivanja. Ovisno o dostupnosti sklopovlja, različite konfiguracije mogu se iskoristiti za usmjeravanje, presretanje i mijenjanje prometa aplikacije. Konfiguracije posrednika koje mogu biti korisne za provjeru sigurnosti su: posrednik preko statičke javne IP adrese, posrednik preko WLAN-a (eng. WIRELESS LOCAL AREA NETWORK), posrednik s jednim mobilnim telefonom i posrednik s vanjskom vezom na Internet.
Za postavljanje ispitnog okruženja postoji nekoliko načina provjere sigurnosti mobilnih aplikacija kao što su: korištenje već postojećih web aplikacija za testiranje sigurnosti, korištenje WinWAP-a s posrednikom, korištenje simulatora mobitela s posrednikom, korištenje mobilnog telefona za ispitivanja te kao posrednika za odlazne podatke s mobitela na računalo. U dokumentu detaljnije je opisano korištenje simulatora s posrednikom. Za neke druge platforme ovaj način može biti težak, ali za aplikacije za operacijske sustave Android i Apple iOS, korištenje simulatora je jednostavno i učinkovito. Zahtjevi koji su potrebi kako bi se ispitivala sigurnost Android aplikacija su: računalo s operacijskim sustavom Microsoft Windows, Java verzija 5 ili 6, Eclipse 3.5, Android SDK i Fiddler. Za ispitivanje iPhone/iPad aplikacija potrebno je imati: Mac Book na kojem se nalazi operacijski sustav Snow Leopard 10.6.2 ili noviji, Apple iOS 4.0.1 (za ispitivanje iPhone aplikacija) i iOS 3.2 (za ispitivanje iPad aplikacija), Charles posrednik i SQLite manager.
Posljednje sigurnosne preporuke