OWASP Mobile Top 10

Einführung

Die OWASP Mobile Top 10 ist eine Liste der kritischsten Sicherheitsrisiken für mobile Anwendungen, veröffentlicht von der OWASP Foundation. Sie bietet eine strukturierte Übersicht typischer Schwachstellen in Android- und iOS-Apps und wird von Entwicklern, Sicherheitsteams und Pentestern als Referenz genutzt.

Im Gegensatz zur OWASP Top 10 für Webanwendungen fokussiert sich diese Liste auf mobile Angriffspunkte wie:

  • Lokale Datenspeicherung
  • Fehlannahmen über die Vertrauenswürdigkeit des Clients
  • Reverse Engineering
  • Mobile Authentifizierungsmodelle
  • Einbindung von Drittanbieter-SDKs

Link: https://owasp.org/www-project-mobile-top-10/

Einordnung der Bedeutung für Penetration Tests

Mobile Anwendungen laufen in einem inhärent unsicheren Umfeld:

  • Angreifer können vollständigen Zugriff auf das Endgerät haben
  • Applikationen können extrahiert und analysiert werden
  • Netzwerkverkehr kann abgefangen und manipuliert werden
  • Laufzeitmanipulation (z. B. Hooking, Instrumentation) ist möglich

Daraus folgt, dass sicherheitsrelevante Annahmen über den Client nicht getroffen werden dürfen. Der zentrale Punkt in der Praxis ist: Die mobile Anwendung ist häufig nicht der eigentliche Angriffspunkt, sondern lediglich das Frontend eines Risikos, das im Backend liegt.

Insbesondere bei:

  • Authentifizierung (M3)
  • Autorisierung
  • Kommunikationssicherheit (M5)

liegen die eigentlichen Schwachstellen typischerweise in APIs oder Backend-Systemen. Die App fungiert hier primär als Transport- und Angriffskanal, auch wenn natürlich eine sichere Datenablage relevant ist.

Die OWASP Mobile Top 10 adressiert diese Realität, vermischt jedoch mobile und backend-nahe Risiken. Dies sollte bei der Interpretation berücksichtigt werden. Dennoch werden sie häufig zur Strukturierung von mobilen Sicherheitstests verwendet.

Abgrenzung zu anderen OWASP Standards

Die OWASP Mobile Top 10 sollte gemeinsam mit weiteren OWASP-Projekten verwendet werden:

  • OWASP Mobile Security Testing Guide (MSTG)
  • OWASP Mobile Application Security Verification Standard (MASVS)

Während die Mobile Top 10 primär Risikokategorien beschreibt, liefern MSTG und MASVS:

  • Konkrete Testmethoden
  • Verifizierbare Anforderungen
  • Technische Umsetzungshilfen

OWASP Mobile Top 10 (2024)

### M1: Improper Credential Usage

Beschreibung

Unsichere Verarbeitung oder Speicherung von Zugangsdaten innerhalb der Anwendung.

Typische Probleme

  • Hardcodierte API-Keys oder Secrets
  • Speicherung von Zugangsdaten im Klartext
  • Unsichere Token-Verwendung

Auswirkung

Angreifer können Zugangsdaten extrahieren und für unautorisierten Zugriff nutzen.

### M2: Inadequate Supply Chain Security

Beschreibung

Sicherheitsrisiken durch Drittanbieter-Komponenten und Abhängigkeiten.

Typische Probleme

  • Verwendung veralteter Bibliotheken
  • Einbindung verwundbarer oder kompromittierter SDKs
  • Fehlende Integritätsprüfung

Einordnung

Dieser Bereich gewinnt zunehmend an Bedeutung.
Moderne mobile Anwendungen integrieren häufig eine Vielzahl externer Komponenten, z. B. für:

  • Analytics
  • Werbung
  • Tracking
  • Payment

Entwickler haben dabei oft keinen Einblick in den Quellcode dieser Komponenten, insbesondere bei proprietären SDKs.
Dadurch entsteht ein strukturelles Risiko, da sicherheitskritisches Verhalten außerhalb der eigenen Kontrolle liegt.

Auswirkung

Kompromittierung über externe Komponenten ohne direkten Angriff auf die Anwendung.

### M3: Insecure Authentication / Authorization

Beschreibung

Fehlerhafte oder unzureichende Authentifizierungs- und Autorisierungsmechanismen.

Typische Probleme

  • Fehlende serverseitige Validierung
  • Unsichere Session-Verwaltung
  • Schwache Authentifizierungsanforderungen

Einordnung

Diese Schwachstellen sind in der Praxis meist Backend-Probleme, nicht App-Probleme.
Die mobile Anwendung exponiert diese lediglich.

Auswirkung

Unbefugter Zugriff auf Benutzerkonten und Funktionen.

### M4: Insufficient Input / Output Validation

Beschreibung

Unzureichende Validierung von Eingaben und Ausgaben.

Typische Probleme

  • Injection-Schwachstellen
  • Unsichere Verarbeitung externer Daten
  • Fehlende Sanitization

Auswirkung

Manipulation der Anwendung oder Ausführung von Schadcode.

### M5: Insecure Communication

Beschreibung

Unsichere Kommunikation zwischen App und Backend.

Typische Probleme

  • Fehlende oder schwache TLS-Verschlüsselung
  • Fehlerhafte Zertifikatsvalidierung
  • Kein Certificate Pinning

Einordnung

Auch hier liegt die eigentliche Schwachstelle häufig im Zusammenspiel mit dem Backend.
Die App ist lediglich der Einstiegspunkt für Angriffe wie Man-in-the-Middle.

Auswirkung

Man-in-the-Middle-Angriffe und Datenabfluss.

### M6: Inadequate Privacy Controls

Beschreibung

Unzureichender Schutz personenbezogener oder sensibler Daten.

Typische Probleme

  • Übermäßige Datensammlung
  • Fehlende Transparenz
  • Unsichere Verarbeitung personenbezogener Daten

Auswirkung

Datenschutzverletzungen und regulatorische Risiken (z. B. DSGVO).

### M7: Insufficient Binary Protections

Beschreibung

Fehlende Schutzmaßnahmen gegen Reverse Engineering und Manipulation.

Typische Probleme

  • Keine Code-Obfuskation
  • Fehlende Root-/Jailbreak-Erkennung
  • Keine Integritätsprüfungen

Auswirkung

Angreifer können die Anwendung analysieren und Sicherheitsmechanismen umgehen.

### M8: Security Misconfiguration

Beschreibung

Fehlkonfigurationen innerhalb der Anwendung oder Plattform.

Typische Probleme

  • Debug-Funktionen in Produktionsumgebungen
  • Unsichere Standardeinstellungen
  • Falsch konfigurierte Berechtigungen

Auswirkung

Erhöhte Angriffsfläche und vereinfachte Ausnutzung.

### M9: Insecure Data Storage

Beschreibung

Unsichere Speicherung sensibler Daten auf dem Gerät.

Typische Probleme

  • Speicherung im Klartext
  • Nutzung unsicherer Speicherorte
  • Fehlende Verschlüsselung

Einordnung

Die Abgrenzung zu M1 (Credentials) ist in der Praxis oft unscharf.
Wird beispielsweise ein Passwort lokal im Klartext gespeichert, handelt es sich gleichzeitig um ein Credential- und ein Storage-Problem.

Auswirkung

Lokale Angreifer können sensible Daten extrahieren.

### M10: Insufficient Cryptography

Beschreibung

Fehlerhafte oder unsichere Verwendung kryptographischer Verfahren.

Typische Probleme

  • Veraltete Algorithmen
  • Unsichere Schlüsselverwaltung
  • Eigenimplementierte Kryptographie

Einordnung

Auch hier bestehen in der Praxis Überschneidungen, insbesondere zu:

  • M1 (Credential Handling)
  • M9 (Data Storage)

Kryptographische Fehler wirken oft als Verstärker anderer Schwachstellen.

Auswirkung

Schutzmechanismen können gebrochen oder umgangen werden.

Fazit

Die OWASP Mobile Top 10 bietet eine kompakte und praxisnahe Übersicht über die wichtigsten Sicherheitsrisiken mobiler Anwendungen.

Sie eignet sich insbesondere für:

  • Erste Risikobewertungen
  • Strukturierung von Security Reviews
  • Sensibilisierung von Entwicklungsteams

Für tiefgehende Sicherheitsanalysen ist jedoch eine Kombination mit weiterführenden Standards und manuellen Tests erforderlich.

Pentest Training

Werfen Sie einen Blick auf die Kapitel vom Pentest Training und lernen Sie Pentesting:

  1. Vorwort
  2. Einführung
  3. Rechtliche Rahmenbedingungen
  4. Hacking vs. Penetration-Testing
  5. Klassifizierung
  6. Aussagekraft von Penetrationstest
  7. Penetration-Testing-Standards
  8. Der Hacking-Leitfaden
  9. Vorführung eines Pentests
  10. Risikobewertung von identifizierten Schwachstellen
  11. Aufbau Dokumentation und Berichterstellung
  12. Plauderei aus dem Nähkästchen: Insights von Dubius Payment Ltd.

binsec academy GmbH – Professionelles Pentest Training Lab

Die binsec academy GmbH bietet mit ihrem Pentest Training Lab eine hochgradig praxisorientierte Online-Plattform für realistisches Penetration Testing. In isolierten Laborumgebungen simulieren wir komplexe Unternehmensnetzwerke und moderne Angriffsvektoren, um die praktischen Fähigkeiten angehender und professioneller Penetrationstester zu schärfen. Durch das Bestehen unserer anspruchsvollen, rein praktischen Prüfung erlangen Teilnehmer das anerkannte Zertifikat zum Binsec Academy Certified Pentest Professional (BACPP) – der fundierte Nachweis für die Fähigkeit, kritische Sicherheitslücken in IT-Infrastrukturen methodisch zu identifizieren.

Das Pentest Training Lab entdecken

binsec GmbH – Experten für Penetrationstests

Als operativer Pentesting-Kern der binsec group bietet die binsec GmbH seit 2013 hochwertige, von Experten durchgeführte Penetrationstests. Wir verzichten bewusst auf automatisierte Scans: Unsere festangestellten, zertifizierten Senior-Pentest-Experten liefern manuelle Deep-Dive-Analysen von Webanwendungen, APIs, mobilen Apps, komplexen Netzwerkinfrastrukturen, Cloud-Umgebungen und hochentwickelten Red-Team-Simulationen. Spezialisiert auf stark regulierte Sektoren wie Payment, Banking und Healthcare, bieten wir klare Risikobewertungen und handlungsorientierte Berichte, um Ihre geschäftskritischen Systeme effektiv zu bewerten.

Professionelle manuelle Penetrationstests anfordern

Kontakt

binsec GmbH
Clemensstraße 6-8
60487 Frankfurt am Main
Germany

M

info@binsec.com

T

+49 69 2475607-0

Impressum

Geschäftsführer: Patrick Sauer
Prokurist: Dominik Sauer, Florian Zavatzki
Handelsregister: Frankfurt am Main, HRB97277
Umsatzsteuer-ID: DE290966808

© 2026 Alle Rechte vorbehalten binsec GmbH. Das operative Kernunternehmen der binsec group.

Datenschutzerklärung

© 2026 Alle Rechte vorbehalten binsec GmbH. Das operative Kernunternehmen der binsec group.

Datenschutzerklärung