Penetration Testing Ten Popular Swedish Android Applications

Astély, Alexander, Ekroth, Johan

January 2022

As more services previously conducted physically are being conducted on mobiles, the security of mobile applications has become a more important part of the development. These mobile applications may handle sensitive information for the user such as payment data, health data, and other information that can have value for malicious actors. Therefore, it is crucial that the applications are secure against a various array of cybersecurity threats. This includes following data protection standards to secure the IT infrastructure surrounding the application from intrusion. This thesis aims to provide a general overview of the security for ten popular Android applications that are aimed at the Swedish Android user base. To evaluate the security of the applications, the process of ”penetration testing” was used to try find and exploit vulnerabilities. The results of the penetration testing process yielded no proper vulnerabilities in terms of being specific for the Android application software. Noticeable findings during the testing were business logic errors, meaning that they do not enable for further hacking and software exploitation. Our analysis of the results concluded that the main causes for the lack of vulnerabilities found likely has to do with rigorous software testing before release and the security practices in place when development applications of the scale tested. / I takt med att allt fler tjänster som tidigare genomförts fysiskt nu genomförs via mobilapplikationer har säkerheten i utvecklingsprocessen fått en allt viktigare roll. Dessa mobilapplikationer kan hantera känslig information för användaren som till exempel betalningsinformation, hälsoinformation och annan information som kan vara av intresse för illvilliga aktörer. På grund av detta är det avgörande att applikationerna är säkra från en mängd olika cyberhot. Samt att följa dataskyddsstandarder för skydda IT-infrastrukturen kring applikationerna från intrång. Denna uppsats har som avsikt att ge en generell bild av säkerheten för tio populära Androidapplikationer som är riktade mot svenska användare. För att utvärdera säkerheten av en applikationerna användes en process kallad penetrationstestning, som användes för att försöka hitta och utnyttja sårbarheter. Resultatet av penetrationstesten var att inga riktiga sårbarheter kunde hittas som var specifika för Androidapplikationernas mjukvara. Noterbara fynd under penetrationstestningen var svagheter i företagslogik, vilket i detta sammanhang är svagheter som inte möjliggör för vidare intrång. Vår slutsats efter att analyserat vårt resultat är att de huvudsakliga anledningarna till frånvaron av svagheter troligtvis har med den rigorösa testningen som sker före publicering och de säkerhetsrutiner som åtföljs under utvecklingen av applikationer av denna storlek.

Penetration testing

Android

vulnerabilities

exploitation

mobile security

penetrationstest

Android

sårbarheter

exploatering

mobilsäkerhet

Computer and Information Sciences

Data- och informationsvetenskap