OWASP Mobile Application Security Verification Standard

Ein Standard für Mobile App Security

Der OWASP Mobile Application Security Verification Standard (MASVS) definiert Security Requirements, die als Leitfaden für die Erstellung sicherer Mobile Apps dienen. Zu Beginn ist der Schutzbedarf der App festzulegen. Der Standard sieht dazu die Stufen MASVS-L1 und MASVS-L2 vor, sowie zusätzliche MASVS-R „Resiliency“ die auf beiden Stufen aufgestockt werden kann.


MASVS Layer (cc) OWASP

MASVS-L1 „Standard Security“ legt eine Basis an Security Requirements fest, z.B. dass Netzwerkverkehr vollständig über TLS geschützt wird und nur ein definiertes Set an X.509 Zertifikaten des Endpoints akzeptiert wird. MASVS-L2 setzt auf diese auf und definiert darüber hinaus noch weitere Requirements. Beispielsweise die Vorgabe einer Zwei-Faktor Authentisierung (2FA) oder eine erneute, direkte Authentifizierung vor dem Zugriff auf sensible Daten. Beide Stufen lassen sich zusätzlich um MASVS-R „Resiliency Against Reverse Engineering and Tampering“ erweitern. Hierbei liegt der Fokus, wie der Name schon sagt, auf dem Schutz vor Modifikationen und Zugriffen auf die App selbst. Requirements aus dieser Stufe sind beispielsweise, dass die App detektiert und reagiert wenn diese in einem Emulator gestartet wird oder Veränderungen an Code und Daten im eigenen Speicherbereich identifiziert und darauf reagiert.
Daraus ergeben sich die folgenden Stufen nach OWASP MASVS:

  • MASVS-L1
  • MASVS-L1+R
  • MASVS-L2
  • MASVS-L2+R

Die Auswahl der richtigen Stufe ergibt sich aus dem jeweiligen Schutzbedarf. So kann ein Hersteller von Spiele Apps MASVS-L1+R bevorzugen, da die Standard Security Stufe in diesem Kontext ausreicht, allerdings Resiliency ein wichtiger Punkt ist, um Veränderungen an der App (z.B. Cheating) zu verhindern bzw. zu erschweren.
Die Requirements für die Stufen MASVS-L1 und MASVS-L2 gliedern sich in 7 Kategorien von „Architecture, Design und Threat Modeling Requirements“ bis hin zu „Code Quality and Build Settings Requirements“. Dabei wird jeweils eine Basis an Requirements nach MASVS-L1 definiert und weitere, darüber hinausgehende nach MASVS-L2 vorgegeben. In einer achten Kategorie werden die Resilience Requirements definiert.
Zur Überprüfung des OWASP Mobile Application Security Verification Standard stellt OWASP den Mobile Security Testing Guide (MSTG) zur Verfügung. Dieser Guide gibt Testfälle für das jeweilige Requirement vor.

softScheck Logo