Verkkosovelluksen tietoturvatestauksen soveltuvuus mobiilisovelluksiin
Koskinen, Joni (2025)
2025
Tietotekniikan DI-ohjelma - Master's Programme in Information Technology
Informaatioteknologian ja viestinnän tiedekunta - Faculty of Information Technology and Communication Sciences
This publication is copyrighted. You may download, display and print it for Your own personal use. Commercial use is prohibited.
Hyväksymispäivämäärä
2025-07-31
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:tuni-202507307926
https://urn.fi/URN:NBN:fi:tuni-202507307926
Tiivistelmä
Tietoturva on nykypäivänä merkittävässä roolissa. Verkkoympäristön kasvava rooli ihmisten arjessa altistaa samalla kyberhyökkäyksille. Erityisesti mobiilisovellukset ovat otollinen kohde haitalliselle toiminnalle niiden suuren määrän vuoksi. Android-sovelluksia kehitetään päivittäin tuhansia ja Android-käyttöjärjestelmä on maailman suosituin noin 70 % markkinaosuudella. Android on avoimen lähdekoodin alusta, mikä toisaalta auttaa kehityksessä, mutta samalla mahdollistaa hyökkääjille enemmän vapauksia. Hyökkäyksien kohteina ovat sekä käyttäjät että palveluntarjoajat. Alalla uutisoidaan säännöllisesti tietoturvaosaajapulasta. Arvioiden mukaan osaajia tarvittaisiin miljoonia lisää maailmanlaajuisesti. Erityisesti mobiilitietoturvatestauksen asiantuntijoita tarvittaisiin lisää, koska vain osa tietoturvatestaajista testaavista on erikoistunut myös mobiilisovelluksien testaukseen.
Työssä toteutettiin tietoturva-analyysi Android-sovellukselle ja selvitettiin miten mobiilisovelluk-sen tietoturvatestausmenetelmät eroavat verkkosovelluksen testaukseen tarkoitetuista vastaavista menetelmistä. Lisäksi analyysissä selvitettiin mitä asioita tulee ottaa huomioon testatessa eri alustoilla sekä määritettiin tietoturvatestaukseen tarvittavat työkalut.
Diplomityössä käydään ensin läpi tietoturvatestauksen teoriaa, tietoturvatestauskehyksiä, työkaluja sekä erityisesti Android-käyttöjärjestelmän rakennetta. Teoriaosuuden jälkeen seuraavana vaiheena käsitellään tietoturvatestaus valitulle Android-sovellukselle noudattaen ensin verkko-sovelluksen tietoturvatestauksen menetelmiä ja sitten mobiilisovelluksille tarkoitettuja testaus-menetelmiä. Testaukseen sisältyi staattinen skannaus käyttäen automatisoituja työkaluja sekä dynaaminen testaus, jossa testattiin monipuolisesti sovelluksen osa-alueita ajonaikaisesti.
Lopputuloksena voidaan todeta, että testausmenetelmistä löytyi eroja, mutta tämän sovelluksen tapauksessa tulokset eivät kuitenkaan eronneet toisistaan merkittävästi. Verkkosovelluksille tarkoitettu skannaustyökalu ei kyennyt testata Android-sovelluksille ominaisia asioita, mutta sen sijaan dynaamisessa testauksessa, jossa molemmille alustoille oli oma testauskehyksensä, tulokset olivat samankaltaisia. Tuloksien pohjalta siirtymä verkkosovelluksen tietoturvatestauk-sesta mobiilisovelluksien pariin voidaan todeta olevan mahdollinen edellyttäen asiantuntijalta tietopohjan testausmenetelmistä sekä perehtymisen Android-käyttöjärjestelmään ja -sovelluksiin.
Työssä toteutettiin tietoturva-analyysi Android-sovellukselle ja selvitettiin miten mobiilisovelluk-sen tietoturvatestausmenetelmät eroavat verkkosovelluksen testaukseen tarkoitetuista vastaavista menetelmistä. Lisäksi analyysissä selvitettiin mitä asioita tulee ottaa huomioon testatessa eri alustoilla sekä määritettiin tietoturvatestaukseen tarvittavat työkalut.
Diplomityössä käydään ensin läpi tietoturvatestauksen teoriaa, tietoturvatestauskehyksiä, työkaluja sekä erityisesti Android-käyttöjärjestelmän rakennetta. Teoriaosuuden jälkeen seuraavana vaiheena käsitellään tietoturvatestaus valitulle Android-sovellukselle noudattaen ensin verkko-sovelluksen tietoturvatestauksen menetelmiä ja sitten mobiilisovelluksille tarkoitettuja testaus-menetelmiä. Testaukseen sisältyi staattinen skannaus käyttäen automatisoituja työkaluja sekä dynaaminen testaus, jossa testattiin monipuolisesti sovelluksen osa-alueita ajonaikaisesti.
Lopputuloksena voidaan todeta, että testausmenetelmistä löytyi eroja, mutta tämän sovelluksen tapauksessa tulokset eivät kuitenkaan eronneet toisistaan merkittävästi. Verkkosovelluksille tarkoitettu skannaustyökalu ei kyennyt testata Android-sovelluksille ominaisia asioita, mutta sen sijaan dynaamisessa testauksessa, jossa molemmille alustoille oli oma testauskehyksensä, tulokset olivat samankaltaisia. Tuloksien pohjalta siirtymä verkkosovelluksen tietoturvatestauk-sesta mobiilisovelluksien pariin voidaan todeta olevan mahdollinen edellyttäen asiantuntijalta tietopohjan testausmenetelmistä sekä perehtymisen Android-käyttöjärjestelmään ja -sovelluksiin.