Offensive Services

MobSF: Das Mobile Security Framework in der Detailansicht

Aktualisiert am

Bei MobSF handelt es sich um ein sogenanntes Sicherheitstest-Framework, welches vorwiegend im
Bereich der mobilen Geräte zum Einsatz kommt. Es ist also prädestiniert für Android, iOS und Windows Apps. Mit dem Framework wird es möglich, Sicherheitsmängel entsprechend schnell und
ganzheitlich innerhalb der mobilen Apps aufzuspüren. Egal, ob es sich um akuten Schadcode oder
potenzielle Schwachstellen handelt.

Am besten eignet sich MobSF, um vor der eigentlichen Veröffentlichung von Android und iOS Apps zu
prüfen, ob noch Sicherheitsprobleme vorhanden sind. Diese können dann zeitnah geschlossen
werden, bevor es zum offiziellen Release kommt. Auf diese Weise wird verhindert, dass
Sicherheitslücken mit in die Release-Version gelangen. Zumindest die offensichtlichen, denn ganz
vermeiden lässt sich so etwas bei einem Launch natürlich eher selten.

Was ist das MobSF überhaupt?

MobSF steht für Mobile Security Framework. Im Grunde dient es dazu, wie in der Einleitung bereits
erwähnt, Schadcode und Schwachstellen in Android und iOS Apps zu entdecken. Das ist notwendig
geworden, da ein händisches Absuchen aufgrund der modernen Möglichkeiten kaum noch sinnvoll
oder gar wirtschaftlich erscheint. Stattdessen werden automatisierte Tools eingesetzt, die derartige
Probleme sicher und schnell erledigen können.

Das Mobile Security Framework übernimmt solch eine Arbeit und läuft sowohl unter MacOS als auch
unter Windows oder Linux. Anschließend kann mit dem Framework automatisiert eine statische
oder dynamische Analyse durchgeführt werden, die eventuell vorhandene Schwachstellen im Code
offenbart. Dabei unterstützt es gängige Formate wie APK (Android), IPA (iOS) oder auch APPX
(Windows).

Das Framework selbst präsentiert sich dabei als eine All-in-one-Lösung für Pentesting und
Sicherheitsanalysen von mobilen Apps. Es ist als Open-Source-Software verfügbar und lässt sich über
eine REST API problemlos in bestehende DevSecOps-Pipelines integrieren. Ein mächtiges Framework
also, welches den meisten Ansprüchen mehr als genügen wird. Doch schauen wir uns MobSF noch
einmal im Detail an.

Welche Vor- und Nachteile hat das MobSF?

Die größten Vorteile von dem Mobile Security Framework sind sicherlich innerhalb der grafischen
Benutzeroberfläche zu finden. Die Bedienung funktioniert hervorragend,
zumal sie den meisten Alternativen weit voraus ist. Außerdem hat sich MobSF als eine Art
Standard herauskristallisiert, entsprechend gut kennen sich mittlerweile die meisten Anwender damit aus.

Nachteile sind aber auch zu finden. Die Software selbst ist zwar Open Source, verkauft aber teuren
Enterprise Support und stammt aus Indien. Einige Funktionen fehlen Sicherheitsexperten zudem
noch und es gibt oft False Positives, was im Vergleich dann ebenfalls eher negativ auffällt. Die
Berichte könnten auch umfangreicher sein, aber das ist Kritik auf hohem Niveau.

Ein weiterer Vorteil hingegen ist, dass MobSF sowohl statische als auch dynamische Tests
beherrscht. Im statischen Durchlauf führt das Tool eine quellcodebasierte Analyse durch, ist also
unabhängig von der jeweiligen Laufzeitumgebung. Bei jeder neuen Code-Freigabe kann solch ein
statischer Test erfolgen, um etwaige Schwachstellen und Sicherheitsrisiken zu erkennen.

Die dynamische Analyse testet die jeweilige App direkt während der Ausführung, also in Echtzeit und
während des tatsächlichen Betriebs. Die dynamischen Durchläufe sind wichtig, um Sicherheitsrisiken
im aktiven Zustand zu finden, wenn die App bereits final fertiggestellt ist.

Gibt es Alternativen?

Alternativen zum Mobile Security Framework gibt es, doch diese sind weit weniger
gefragt als das Open Source Framework. Letzteres liegt primär daran, dass MobSF zufriedenstellend funktioniert und nicht nur aufgrund des Preises, sondern auch aufgrund der
einfachen Nutzbarkeit extrem populär geworden ist. Einige Alternativen möchten wir dennoch
aufzeigen.

Dozer: MobSF ist beliebt für seine statischen Analysen, während Dozer eigentlich eher für
dynamische Sicherheitsanalysen bekannt ist. Also das genaue Gegenteil von dem, was MobSF entsprechend populär erscheinen lässt. Auch das Interface bzw. die grafische Benutzeroberfläche ist
bei MobSF unserer Meinung nach eleganter gelöst worden. Dozer ist zudem nicht Open Source,
sondern kommerziell und konzentriert sich zudem voll und ganz auf Android.

Fortify: Vergleichen wir Fortify mit MobSF fällt zunächst einmal auf, dass im Vergleich kaum False
Positives gefunden werden. Das hingegen ist ein typischer Nachteil von MobSF, welches immer sehr
viele Fehlalarme auslöst. Fortify legt zudem mehr Wert auf Compliance, was dazu führt, dass viele
Richtlinien wie PCI DSS, DISA STIG und die OWASP Top 10 abgedeckt sind. Auch das ist bei MobSF nicht der Fall.

QARK: Das sogenannte Quick Android Review Kit konzentriert sich auf Android und wird, genau wie
auch MobSF vorwiegend für statische Analysen verwendet. Allerdings in reiner Konsolenansicht, die
nicht jeder gut findet. Ansonsten ist auch QARK Open Source und wird beständig entwickelt und
verbessert. Der Schwachstellenbericht fällt umfangreicher und tiefgehender aus, was es Entwicklern
leichter macht, entsprechende Probleme anzugehen und zu beheben.

Was ist Static Application Security Testing?

Es gibt im Bereich der Sicherheitstest verschiedene Standards und etablierte Verfahren, die immer
wieder zum Einsatz kommen. Eines davon nennt sich Static Application Security Testing, kurz auch
einfach als SAST bezeichnet. Am häufigsten werden die statischen Sicherheitstests dabei mit dem
Tool MobSF durchgeführt.

Bei SAST handelt es sich um eine Sicherheitsprüfung, die auf Basis des Quellcodes abläuft. Der
eigentliche Code einer App wird also entsprechend bewertet und analysiert, um potenzielle
Probleme, Sicherheitsmängel und konkrete Schwachstellen zu entdecken. Der große Vorteil bei SAST
ist, dass es auch schon sehr früh angewendet werden kann, also relativ zu Beginn eines Software
Development Life Cycles. Das liegt daran, dass eine App nicht funktionsfähig sein muss, um sie zu
scannen.

Das Static Application Security Testing, für welches MobSF geradezu berühmt ist, erfordert also
keinen ausführbaren Code, sondern lediglich die Fragmente selbst. Erkannte Probleme können also
noch während der Entwicklung und auch ganz zu Beginn behoben werden. So ist es ohne Weiteres
möglich, Schwachstellen offenzulegen und diese vollständig zu umgehen, indem andere Ansätze für
bestimmte Abschnitte gewählt werden.

MobSF ist ein effektiver Helfer

MobSF ist ein praktisches und schon lange etabliertes Tool, um statische oder dynamische Analysen
von Apps auszuführen. Auf diese Weise werden Sicherheitslücken und Schwachstellen in Android,
iOS und Windows Apps entdeckt. Darauffolgend können selbige behoben werden, bevor es zu einer
Veröffentlichung der jeweiligen App kommt. Das ist viel wert, denn Sicherheitslücken sollten bei
Release keine mehr vorhanden sein, zumindest im Idealfall. Irgendetwas rutscht zwar immer durch,
doch am Ende sollte es möglichst wenig sein und keine offensichtlichen und typischen
Sicherheitsaspekte betreffen.

Spezifische Tests kann MobSF dabei keine fahren. Das Mobile Security Framework ist vielmehr auf
automatisierte Abläufe spezialisiert, die für jede Funktion einer Anwendung einzeln durchgeführt
werden können. Es erfordert also einen manuellen Prozess, um Schwachstellen zu finden und
sicherzustellen, dass alle Bereiche entsprechend abgearbeitet wurden.

Das Tool ist eine willkommene Hilfe beim Testen von Anwendungen, die für den mobilen
Bereich bestimmt sind. Als einzige Lösung sollte es jedoch keinesfalls verwendet werden. Nichts
ersetzt den manuellen Blick auf die Sache und einen Sicherheitsexperten, der versiert nach Lücken
und Problemen sucht. Für den Anfang ist MobSF aber wunderbar geeignet.

Foto des Autors

Vincent Reckendrees

Hallo, ich bin Vincent Reckendrees und leite das Team Offensive Services bei der AWARE7 GmbH. In meinem Bachelor und Master Studium habe ich mich auf IT-Sicherheit spezialisiert und BSI zertifizierter IS-Penetrationstester. Meine Leidenschaft gilt Reverse Engineering, Hardware- und Web-Sicherheit. Als Experte für Penetrationstests finde ich Schwachstellen in Systemen und Netzwerken und nutze sie, um realistische Cyberangriffe zu simulieren und Sicherheitsmaßnahmen zu verbessern. Durch Reverse Engineering entdecke ich Fehler und Verbesserungsmöglichkeiten in Software und Hardware. Meine Fähigkeiten in Hardware- und Web-Sicherheit ermöglichen es mir, physische Geräte und Online-Plattformen vor einer Vielzahl von Cyberbedrohungen zu schützen und ihre Integrität und Zuverlässigkeit zu gewährleisten.