Mobile-Plattform-Sicherheit — Android, iOS, macOS.

Android — Attack-Surface-Review

• APK-Unpacking. apktool d app.apk für Resources + smali; jadx-gui app.apk für decompiled Java. AndroidManifest.xml zuerst lesen — exportierte Activities, Services, Provider, Receiver sind Entry-Points.
• Permission-Modell. Dangerous Permissions (CAMERA, LOCATION, READ_SMS) brauchen Runtime-Grant ab API 23. checkSelfPermission + Early-Return-Logik suchen; fehlende Checks = Bypass.
• Exportierte Komponenten. android:exported="true" ohne Intent-Filter-Permission = aus jeder installierten App aufrufbar. drozer console connect, run app.activity.start --component pkg cls.
• Unsichere Deep-Links. Custom Scheme + WebView loadUrl auf Intent-Extras = lokales File-Read oder beliebiger URL-Load. file://-Handling prüfen.
• Network-Security-Config. res/xml/network_security_config.xml — cleartextTrafficPermitted, Custom-Trust-Anchors, Certificate-Pinning. Erste Defender-Härtung.
• SSL-Pinning-Bypass. Frida-Script frida -U -l ssl-pinning-bypass.js -f pkg oder objection -g pkg explore → android sslpinning disable.
• Root-Detection-Bypass. Gleiche Frida-Toolchain — RootBeer, SafetyNet oder per-App-Heuristiken hooken.

Android — Verteidigung in Apps

• R8/ProGuard mit Custom-Rules. Default-Rules shrinken nicht — Symbol-Info leakt noch. Custom -keep + -renamesourcefileattribute.
• Integrity-Checks. Multi-Source-Verifikation: Signature-Check + Native-Code-Anker + Remote-Attestation (Play Integrity API).
• Secrets im Code. Nein. EncryptedSharedPreferences + KeyStore-backed Key für alles was persistieren muss.
• WebView-Härtung. setJavaScriptEnabled(false) wenn nicht nötig; setAllowFileAccess(false); setAllowUniversalAccessFromFileURLs(false).

Android — Forensik-Akquisitionsmodi

• Logical Pull (ADB-Backup). adb backup -all -shared -system. Begrenzt auf was Backups exponieren; viele Apps markieren sich unbackup.
• File-System-Pull (rooted). adb shell su -c 'tar -czf /sdcard/full.tgz /data/data /data/system'. Umfassend, aber invasiv — Root überlebt nächsten Boot vielleicht nicht.
• Physisch (EDL/JTAG). Chipset-spezifisch. Qualcomm Emergency Download Mode → Firehose-Loader → voller eMMC-Dump.
• Chip-Off. eMMC ablöten, in Standalone-Reader lesen. Destruktiv; Gerät kann nicht leicht in Evidence-Chain zurück.

iOS

• Entitlement-Modell. codesign -d --entitlements - /path/to/app dumpt Entitlements. Alles jenseits des Standard-Sets ist eine Frage.
• Sandbox. Apps auf Container beschränkt; Zugriff auf andere App-Daten erfordert Entitlement, App-Groups oder shared Keychain-Group.
• Runtime-Instrumentation. frida -U -n AppName auf jailbroken Device. Ohne JB: IPA mit eingebettetem Frida-Gadget neu signieren, via TrollStore/AltStore installieren.
• Static-Analyse. otool -L für linked Frameworks; class-dump für Obj-C-Runtime-Klassen; Hopper für Swift-/Obj-C-Disassembly.
• App-Clip / URL-Scheme-Missbrauch. Universal Links mit schwacher Apple-App-Site-Association hijackbar.

macOS

• TCC. Transparency, Consent, Control. Zugriff auf Camera, Microphone, Documents, Desktop erfordert User-Prompt-Grant. TCC.db unter ~/Library/Application Support/com.apple.TCC/TCC.db. Bypass via tccd-Hijack auf un-SIP'd Systemen.
• Codesign-Mechanik. codesign --verify --verbose /path; spctl -a -v /path für Gatekeeper-Assessment. Notarization erforderlich für Distribution außerhalb MAS seit 10.15.
• Persistenz-Orte. LaunchAgents (~/Library/LaunchAgents, /Library/LaunchAgents), LaunchDaemons (/Library/LaunchDaemons), Login Items, cron, periodic.
• EndpointSecurity-Framework. Modernes macOS-EDR hookt hier für Process-Exec, File-Open, Fork-Events. Nachfolger des deprecated kauth/kext.