Unified communication apps
Penetrationstests für ein führendes US-Telekommunikationsunternehmen
Die ständig wachsenden technischen Sicherheitsrisiken erfordern von den Anbietern mobiler Dienste eine ständige Anpassung. Ein solcher Anbieter wandte sich an uns, um die Sicherheit seiner mobilen Geräte zu verbessern. Als Experten für alles, was mit mobilen Geräten zu tun hat, waren wir das richtige Team für diese Aufgabe.
KURZ
Zusammenfassung
Industrie
Telekommunikation
Standort
Vereinigte Staaten
Zeitleiste
7 Monate
Dienstleistungen
Penetrationstests
Team
1 F&E-Ingenieur
Unser Kunde, der mit über 150 Millionen Netzwerkteilnehmern zu den Marktführern in seinem Bereich zählt, wollte die Sicherheit seiner mobilen Geräte auf höchstem Niveau gewährleisten und seine Nutzer sowohl vor Hardware- als auch vor Software-Angriffen schützen.
Die Herausforderung
Es gibt mehr als 100 Mobiltelefonmodelle der bekanntesten Hersteller (Samsung, Apple, Huawei usw.). Für einen Mobilfunkanbieter ist es gelinde gesagt eine Herausforderung, dafür zu sorgen, dass alle diese Telefone sicher sind.
Die schiere Anzahl potenzieller Sicherheitsszenarien könnte ein Alptraum sein, der zu bewältigen ist.
Sie brauchten also ausgewiesene Experten, um ihren mobilen Geräten grünes Licht für die Sicherheit zu geben.
Die Lösung
Wir haben eine Reihe von Penetrationstests geplant, um die Abwehrkräfte der verschiedenen Geräte zu testen. Erst wenn wir jedes Gerät gründlich getestet haben, kann es für den weiteren Einsatz geeignet sein.
Wie wir dorthin kamen
Wir haben die Telefone nacheinander aus der ganzen Welt erhalten, wobei wir mit der einfachsten Aufgabe begonnen und mit der nach Meinung des Kunden schwierigsten abgeschlossen haben. Und so ist das gelaufen:
1. Charge – Sie bestand aus ihren alten, bereits in Gebrauch befindlichen Mobilgeräten. Wir haben es geschafft, in mehr als 90 % von ihnen einzubrechen. Das ist eine schlechte Nachricht.
2. Charge – Dies war eine härtere Nuss, da die Geräte weniger offensichtliche Schwachstellen aufwiesen und wir aufgrund von Fristen weniger Zeit hatten.
3. Charge – Hier sahen wir viele neue Prototypen, die wir aufgrund fehlender Firmware für die Prototypen und keinem aktiven Fastboot-Modus kaum knacken konnten.
4. Charge – Die letzte Prototyp-Charge war auch die stärkste in Bezug auf die Sicherheit. Wir konnten keinen Weg finden, sie zu knacken, was bedeutete, dass der Kunde auf dem richtigen Weg war.
Wir kommunizierten regelmäßig mit dem Kunden, mit wöchentlichen Berichten und Treffen alle 5 Tage.
Unser Einfluss
OS-Penetrationstests
Wir haben Methoden wie Man-in-the-Middle und die Umgehung von Zertifikats-Pinning eingesetzt, um die Abwehrmechanismen der einzelnen mobilen Geräte zu testen.
Hardware-Penetrationstests
Indem wir bestimmte Pins auf der Hauptplatine des Telefons identifizieren, würden wir einen Kurzschluss erzeugen, der das Telefon in den Debug-Modus versetzt.
Dies bedeutete, dass alle Verteidigungsmaßnahmen außer Kraft gesetzt waren und ein potenzieller Angreifer tun konnte, was er wollte.
Sicherheitsberatung
Nach Abschluss unserer sorgfältigen Tests erstellten wir einen detaillierten Bericht mit unseren Erkenntnissen und berieten das Unternehmen, welche Sicherheitsmaßnahmen es umsetzen sollte.
Ergebnis
Unsere Erkenntnisse über die Stärken und Schwächen der verschiedenen Mobiltelefonmarken halfen dem Kunden, Entscheidungen zu treffen, die sich direkt auf sein Endergebnis auswirken.
Darüber hinaus haben wir viele Schwachstellen gefunden, die potenzielle Angreifer ausnutzen könnten. Aber zum Glück haben wir sie zuerst gefunden und den Kunden zu den richtigen Lösungen geführt.
10
Getestete Telefonmodelle
4
Modelle haben unsere Tests bestanden
SIE WOLLEN EINEN SOLCHEN SERVICE? – LASSEN SIE UNS REDEN
Füllen Sie einfach das kurze Formular unten aus, oder gehen Sie zum Ende des Formulars, um ein Gespräch direkt mit unserem Spezialisten für Kundenstrategie zu vereinbaren. In jedem Fall werden wir uns so bald wie möglich bei Ihnen melden, um ein unverbindliches Gespräch zu vereinbaren.
Keine Sorge, die von Ihnen angegebenen Daten werden nur für geschäftliche Zwecke gespeichert. Weitere Informationen finden Sie in unserer Datenschutzrichtlinie.
Vereinbaren Sie ein Gespräch mit Ivor, unserem Spezialisten für Kundenstrategie.
