| Popis: |
Heutzutage begleiten uns mobile Anwendungen täglich und spielen eine wichtige Rolle in unserem Leben. Daher ist die Absicherung der Anwendungen auf unseren Smartphones von entscheidender Bedeutung. Da wir unsere Geräte im Laufe des Tages häufig nutzen, um auf soziale Medien, Nachrichten und andere Inhalte zuzugreifen, ist es von entscheidender Bedeutung sicherzustellen, dass diese Applikationen (Apps) geschützt sind. Außerdem kommen jeden Tag neue Apps hinzu, und bestehende werden aktualisiert. Auf der anderen Seite nimmt aber auch die Zahl der Angriffe auf mobile Anwendungen täglich zu, sodass es eine schnelle, aber bequeme Möglichkeit geben muss, auf die Sicherheit zu achten. Mit Bitrise, einer der führenden Continuous-Integration/Continuous-Delivery (CI/CD) Plattformen für mobile Apps, ist es möglich, Android-Apps vor jeder Veröffentlichung automatisch durch verschiedene Pipelineschritte laufen zu lassen. Der Open-Worldwide-Application-Security-Project (OWASP) Mobile-Application-Security-Verification-Standard (MASVS) ist der aktuelle Industriestandard für mobile App-Sicherheit und wird von dem Bundesamt für Sicherheit in der Informationstechnik (BSI) und Android selbst unterstützt. Bitrise bietet derzeit mehr als 320 Pipelineschritte, die in einen Workflow integriert werden können. Bei dieser Menge an Schritten ist es eine Herausforderung zu erkennen, welche Schritte in Kombination sinnvoll in die Pipeline einzubauen sind. Daher stellt sich die Frage, "Welche Kombination an Pipelineschritten, die auf bitrise.io angeboten werden, ist am effizientesten gegen die im OWASP-Mobile-Application-Security-Testing-Guide aufgelisteten Schwachstellen?". Die Herausforderung hinter der Antwort besteht darin, nicht alle angebotenen Sicherheitsschritte zu finden und auch nicht nur die kostenlosen, sondern genau die, die sich perfekt ergänzen. Angenommen, der Benutzer möchte ein Übermaß an zusätzlichen Schritten im Arbeitsablauf vermeiden und weiterhin kostenlos sein. In diesem Fall ist es notwendig, eine anspruchsvolle und umfassende Ausarbeitung all dieser Schritte vorzunehmen und sie zu vergleichen, um ein angemessenes Ergebnis zu erzielen. Um ein solches Ergebnis zu erzielen, wurde der Prozess grundsätzlich in zwei große Schritte unterteilt. Zunächst mussten alle Schritte für Android betrachtet und herausgefiltert werden, sodass nur noch sicherheitsrelevante und kostenlose Schritte übrig blieben, die mit einer Android-Kotlin Anwendung arbeiten. Nach dieser Evaluierung wurden alle möglichen Kandidaten in eine Pipeline auf Bitrise eingebaut und getestet. Das Ergebnis aller Schritte wurde dann mit dem OWASP-MASVS verglichen, um zu evaluieren, welche Schritte sich gegenseitig ergänzen und welche in Kombination nur redundant wären, weil ein anderer Schritt die Sicherheitslücke bereits entdeckt hatte. Die Ergebnisse zeigen, dass von den mehr als 320 Pipelineschritten auf bitrise.io nur sechs es in die weitere Betrachtung geschafft haben. Effizient sind davon aber nur AppSweep und SonarQube. In Kombination decken diese beiden kostenlosen Schritte 16 Schwachstellen aus dem OWASP-MASVS auf, welche die größte Abdeckung von allen Schritten bietet. Nowadays, mobile applications (apps) accompany us daily and play a significant role in our all lives. Therefore, securing the applications on our smartphones is essential. Furthermore, since we use our devices frequently throughout the day to access social media, news, and much other content, it is crucial to ensure that they are fully protected. In addition, every day, more apps are added, and existing apps get updated. However, on the other hand, the number of mobile application attacks is also increasing daily, so there must be a fast but convenient way to pay attention to security. With Bitrise, one of the leading continuous integration/continuous delivery (CI/CD) platforms for mobile apps, it is possible to run Android apps through different pipeline steps before each release automatically. The Open Worldwide Application Security Project (OWASP) Mobile Application Security Verification Standard (MASVS) is the current industry standard for mobile app security and is supported by Android and the Federal Office for Information Security (BSI). Bitrise currently offers more than 320 pipeline steps that can be built into a workflow. With this amount of steps, it is challenging to detect which ones in combination are useful to include in the pipeline. Therefore, the question arises, "Which combination of pipeline steps offered on bitrise.io is most efficient against the vulnerabilities listed in the OWASP Mobile Application Security Testing Guide regarding numbers?". The challenge behind the answer is not to find all the offered security steps and not just all the free ones, but precisely those that complement each other perfectly. Suppose the user wants to avoid an excess of additional steps in the workflow and wants to continue being free of charge. In that case, it is necessary to make a demanding and comprehensive elaboration of all these steps and compare them to get an adequate result. In order to achieve such a result, the process was fundamentally divided into two major steps. First, all steps for Android had to be looked at and filtered out so that only security-relevant and free-of-charge steps working with Android Kotlin application remain. After this evaluation, all possible candidates were built into a pipeline on Bitrise and tested. The result of all the steps was then compared to the OWASP MASVS to evaluate which steps complement each other and which, in combination, would only be redundant because another step had already discovered the security vulnerability. The results show that of the more than 320 pipeline steps on bitrise.io, only six were considered further. Of these, however, only AppSweep and SonarQube are efficient to use. In combination, these two free-to-use steps uncover 16 vulnerabilities from the OWASP MASVS, providing the most significant coverage of the vulnerabilities. |
