State of the art iOS penetration testing

Eine empirische Analyse vorhandener Techniken und Tools

Masterarbeit, Fachhochschule St. Pölten, Masterstudiengang Information Security, 2019

Nachrichten von Hackerangriffen oder Datendiebstählen sind ständige Begleiter in einer Zeit der zunehmenden Digitalisierung. Es vergeht kaum ein Tag, an dem kein Bericht über die Cyberkriminalität in den Medien zu lesen beziehungsweise zu hören ist. Ein ununterbrochenes Katz-und-Maus-Spiel zwischen Datenschützerinnen und Datenschützern beziehungsweise Entwicklerinnen und Entwickler und Hackerinnen und Hackern. Da mobile Anwendungen im Unternehmensbereich immer mehr an Beliebtheit gewinnen, gelten auch die darin verarbeiteten unternehmenskritischen Daten als besonders schützenswert. Die Aktualisierung beziehungsweise Neuimplementierung von Sicherheitsmaßnahmen durch Apple ist ein laufender Prozess. Jedoch werden immer wieder Wege gefunden um diese Sicherheitsfunktionen zu umgehen. Das Ziel dieser Arbeit ist es, Kenntnisse über die Sicherheitsmaßnahmen von iOS zu erlangen, durch Entwicklerinnen und Entwickler implementierte Schwachstellen aufzuzeigen. Es wird ein Überblick über die bekanntesten Frameworks und deren Einsatz bei praktischen Penetration Tests gegeben. Das Ergebnis dieser Diplomarbeit ist die Darlegung häufiger Implementierungsfehler und eine Gegenüberstellung der am weitest verbreiteten Frameworks (Frida, objection, Cycript und Needle), wobei im Detail aufgezeigt wird, welchen Mehrwert diese für eine Sicherheitsüberprüfung bieten.

Messages of hacker attacks or data theft are constant companions in a time of increasing digitalization. Hardly a day goes by without a report on cybercrime being read or heard in the media. Keeping data secure is an uninterrupted cat-and-mouse game between data protectors or developers and hackers. Since mobile applications are becoming more and more popular in the corporate sector, the company-critical data process is specifically worth to be protected. The updating or re-implementation of security measures by Apple is an ongoing process. However, ways are always found to bypass these security functions. The aim of this work is to gain knowledge about the security measures and to identify weak points implemented by developers. An overview of the most popular frameworks and their use in practical penetration tests is given. The result of this diploma thesis is the presentation of common implementation errors. A comparison of the most common frameworks (Frida, objection, Cycript and Needle) is shown in detail and the added value they offer for a security check is illustrated.