Mobile App Penetrationstest: iOS, Android und die API dahinter

Eine Mobile-App ist drei Angriffsflächen in einer: das Client-Binary auf einem Gerät, das Sie nicht kontrollieren, die lokalen Daten, die es speichert, und die API, mit der es spricht. Ein Mobile App Penetrationstest prüft alle drei gegen den OWASP Mobile Application Security Verification Standard (MASVS) und den Testing Guide (MASTG). Matproof Sentinel testet Ihre iOS- und Android-Apps plus deren Backend-APIs, beweist die ausnutzbaren Befunde und liefert einen audit-tauglichen Bericht mit Mapping auf ISO 27001 und SOC 2. Bericht ab €149.

Kostenlosen Scan starten
MW
Geschrieben von Malte Wagenbach
Gründer von Matproof Security. Spezialisiert auf KI-gestützte Penetrationstests und EU-Compliance (DORA, NIS2, BSI Grundschutz, ISO 27001).
Zuletzt überprüft: 17. Mai 2026

Warum Mobile-Apps anders versagen — und warum die API die halbe Prüfung ist

Ein Mobile-Penetrationstest muss ein Bedrohungsmodell berücksichtigen, das das Web nicht teilt: der Angreifer kontrolliert physisch das Gerät, auf dem der Client läuft. Er kann die App dekompilieren, ihren lokalen Speicher lesen, ihre Laufzeit hooken und jeden Request inspizieren, den sie absetzt. Das bedeutet, dass im Binary hartkodierte Secrets nicht geheim sind, 'versteckte' API-Endpunkte vollständig sichtbar sind und jede ausschließlich im Client durchgesetzte Sicherheitskontrolle gar keine Kontrolle ist. Der OWASP MASVS existiert, um dies zu strukturieren — unsichere Datenspeicherung, schwache Kryptografie, unsichere Kommunikation und Reverse-Engineering-Resistenz sind Kernkategorien. Aber der wichtigste Befund in den meisten Mobile-Tests liegt auf der Serverseite: weil Kontrollen im Client immer umgangen werden können, muss die Backend-API jede Autorisierungs- und Validierungsregel unabhängig durchsetzen — und tut es häufig nicht. Ein Mobile-Pentest, der nur das Binary inspiziert und die API dahinter überspringt, verfehlt den Ort, an dem die echte Datenexposition lebt. Sentinel testet Client, On-Device-Speicher und API zusammen — denn ein Angreifer respektiert die Grenze zwischen ihnen nicht.

  • Der Angreifer besitzt das Gerät: das App-Binary kann dekompiliert und instrumentiert werden, sodass hartkodierte Secrets, API-Keys und 'versteckte' Endpunkte vollständig exponiert sind — nie eine Sicherheitskontrolle.
  • Unsichere lokale Speicherung (MASVS-STORAGE): Token, PII und Credentials, die im Klartext, in Shared Preferences oder world-readable Dateien gespeichert sind, lassen sich von einem verlorenen oder kompromittierten Gerät wiederherstellen.
  • Client-seitige Kontrollen sind umgehbar: Jailbreak-/Root-Erkennung, Certificate-Pinning und Input-Validierung, die nur in der App durchgesetzt werden, lassen sich hooken und deaktivieren — das Backend muss alles erneut durchsetzen.
  • Die Backend-API ist die halbe Prüfung: weil Client-Kontrollen versagen, sind BOLA, Broken Authentication und Excessive Data Exposure in der API meist die folgenreichsten Mobile-Befunde.
  • App-Store-Präsenz und Enterprise-Käufer erwarten zunehmend einen aktuellen Mobile-Pentest; ISO 27001 A.8.25/A.8.26 (Secure Development, Application Security Requirements) und SOC 2 erwarten dokumentierte Mobile-Application-Tests.

Was Matproof in einem Mobile App Penetrationstest prüft

  • Unsichere Datenspeicherung (MASVS-STORAGE): Klartext-Token/-PII in Preferences, SQLite, Keychain-/Keystore-Missbrauch, sensible Daten in Logs und Backups
  • Kryptografie (MASVS-CRYPTO): schwache oder selbstgebaute Algorithmen, hartkodierte Schlüssel, vorhersehbare IVs, unsachgemäßes Key-Management
  • Netzwerkkommunikation (MASVS-NETWORK): TLS-Validierung, Certificate-Pinning und dessen Umgehbarkeit, Klartext-Traffic, Anfälligkeit für Man-in-the-Middle
  • Authentifizierung & Session-Handling (MASVS-AUTH): Token-Speicherung und -Lebensdauer, Biometrie-/Local-Auth-Bypass, Session-Fixation
  • Plattform-Interaktion (MASVS-PLATFORM): exportierte Komponenten und Deep Links (Android), URL-Scheme-Missbrauch und Pasteboard-Leakage (iOS), WebView- und JavaScript-Bridge-Risiken
  • Reverse Engineering & Tampering (MASVS-RESILIENCE): aus dem Binary wiederherstellbare Secrets, Root-/Jailbreak- und Anti-Tamper-Bypass, Runtime-Hooking-Exposition
  • Backend-API-Testing: OWASP API Top 10 (2023) gegen die API der App — BOLA, Broken Authentication, Excessive Data Exposure, Mass Assignment
  • Befunde risikobewertet mit CVSS 3.1 und gemappt auf OWASP MASVS, ISO 27001:2022 A.8.25/A.8.26 und SOC 2 für audit-taugliche Evidenz

Beispiel-Befund

Hoch

OAuth-Token im Klartext in Shared Preferences gespeichert, aus Geräte-Backup wiederherstellbar

Sentinel stellte fest, dass die Android-App das langlebige OAuth-Refresh-Token des Benutzers im Klartext in SharedPreferences persistierte, die in Standard-Geräte-Backups enthalten und auf einem gerooteten Gerät lesbar sind. Ein Angreifer mit kurzem physischem Zugriff, einem böswilligen Backup-Restore oder in einem Geräte-Diebstahl-Szenario könnte das Token extrahieren und den Benutzer unbegrenzt imitieren — das Token hatte kein Geräte-Binding und eine mehrmonatige Lebensdauer. Dies ist OWASP MASVS-STORAGE, einer der häufigsten Mobile-Befunde, und er lässt sich nicht erkennen, indem man nur die API testet.

Behebung: Speichern Sie sensible Token im plattform-eigenen Secure Store (Android Keystore / iOS Keychain) mit hardware-gestützten Schlüsseln, wo verfügbar, und schließen Sie sie von Backups aus (android:allowBackup-Handling / iOS Data-Protection-Klassen). Verkürzen Sie die Refresh-Token-Lebensdauer und binden Sie Token an das Gerät. Ergänzen Sie serverseitige Anomalie-Erkennung für Token-Reuse von neuen Geräten. Sentinel testet die Speicherung nach der Behebung erneut und dokumentiert die Verifikation als Evidenz für ISO 27001 A.8.26.

Referenz: OWASP MASVS-STORAGE-1 · CWE-312 Cleartext Storage of Sensitive Information · ISO 27001:2022 A.8.26 Application Security Requirements · OWASP Mobile Top 10 M9 Insecure Data Storage

Mobile-Pentest: kostenloser Scan vs Matproof Sentinel vs klassische Beratung

Kostenloser ScanMatproof SentinelKlassische Beratung
Automatisierte Scan-Engine✓ (3-min Vorschau)✓ Vollständiger Scan✗ Nur manuell
OWASP Top 10 AbdeckungPartiell✓ Vollständig✓ Vollständig
Proof-of-Exploit-Evidenz✓ Pro Befund✓ Pro Befund
Regulatorisches Mapping (DORA/NIS2/ISO 27001)✓ Automatisiert✓ Manuell
Audit-tauglicher PDF-Bericht✓ Sofort✓ 2–4 Wochen Lieferzeit
Kontinuierliche / wiederkehrende Scans✓ Pro Deploy✗ Jährliches Engagement
Zeit bis zum ersten Ergebnis~3 Min.~30 Min. Vollscan2–4 Wochen
Preis€0Ab €149€8.000–€25.000
Quellcode-Review (SAST)✓ Im Growth-Plan✓ Im Scope
API-Testing (REST/GraphQL)✓ Automatisiert✓ Manuell

Preise für Mobile App Penetrationstests

Einzel-Scan
€149 einmalig
  • 1 vollständiger Pentest-Scan
  • KI-priorisierte Befunde mit CVSS 3.1
  • Proof-of-Exploit für jedes Finding
  • PDF-Bericht (audit-tauglich)
  • Regulatorisches Mapping (DORA, NIS2, BSI)
Einzel-Scan kaufen
Empfohlen
Starter
€299 / Monat
  • Unbegrenzte Scans (bis 3 Domains)
  • Kontinuierliches Monitoring
  • CI/CD-Integration (GitHub, GitLab)
  • Alle Regulierungs-Mappings
  • Prioritäts-Support
Starter starten
Growth
€799 / Monat
  • Unbegrenzte Scans + Domains
  • White-Box / Authenticated Testing
  • API- & Cloud-Infrastruktur-Tests
  • Dedizierter Security-Account-Manager
  • SLA 24h Reaktionszeit
Growth anfragen

Häufige Fragen zum Mobile App Penetrationstest

Was ist ein Mobile App Penetrationstest?

Ein Mobile App Penetrationstest prüft eine iOS- oder Android-Anwendung über drei Oberflächen: das Client-Binary (das der Angreifer dekompilieren und instrumentieren kann), die Daten, die es On-Device speichert, und die Backend-API, mit der es kommuniziert. Er ist um den OWASP Mobile Application Security Verification Standard (MASVS) und den Testing Guide (MASTG) strukturiert, und das Ziel ist, zu finden und zu beweisen, was ein Angreifer, der das Gerät kontrolliert — oder es stiehlt — tatsächlich tun könnte.

Warum umfasst der Mobile-Pentest die Backend-API?

Weil jede ausschließlich im Mobile-Client durchgesetzte Sicherheitskontrolle umgangen werden kann — der Angreifer kontrolliert das Gerät und kann die App hooken oder patchen. Der einzige Ort, an dem Autorisierung und Validierung zuverlässig durchgesetzt werden können, ist der Server. Folglich sind die folgenreichsten Mobile-Befunde meist API-seitig: Broken Object Level Authorization, schwache Authentifizierung und Excessive Data Exposure. Das Binary ohne die API zu testen lässt das echte Risiko ungetestet.

Testen Sie sowohl iOS als auch Android?

Ja. Die Plattformen unterscheiden sich — Keychain vs Keystore, URL-Schemes vs Intents/Deep Links, Data-Protection-Klassen vs allowBackup — und Sentinel deckt die plattformspezifischen Risiken für beide ab, plus das geteilte API-Backend, das beide bedient.

Was kostet ein Mobile App Penetrationstest?

Klassische Mobile-Pentests von Beratungshäusern liegen typischerweise bei £5.000–£15.000 pro Plattform je nach App-Komplexität, über mehrere Wochen. Matproof Sentinel enthält Mobile-Backend-API-Testing ab €149 (Einzel-Scan); tieferes Client-Binary- und On-Device-Testing wird im Growth-Plan gescopt. Siehe unseren Leitfaden zu Pentest-Kosten für die Aufschlüsselung.

Verwandte Themen

Vertiefen — verwandte Artikel aus unserem Blog

Testen Sie Ihre Mobile-App und die API dahinter

Starten Sie mit einem kostenlosen Scan des Backends Ihrer App oder erhalten Sie einen vollständigen Mobile App Penetrationstest — iOS-/Android-Client, Speicher und API, Proof-of-Exploit pro Befund, gemappt auf OWASP MASVS, ISO 27001 und SOC 2 — ab €149.

Kostenlosen Scan starten