Aliniat OWASP MASTG & MASVS

Mobile application penetration testing. Securizează-ți aplicațiile iOS & Android.

Aplicația ta mobilă se află în milioane de buzunare și este permanent în vizorul atacatorilor. Experții noștri testează dincolo de interfața grafică (UI) pentru a descoperi vulnerabilități în stocarea locală, comunicațiile API, autentificare și logica de business – acele puncte critice pe care instrumentele automatizate le omit de obicei.

Certificat Offensive Security, SANS
iOS & Android
Reverse engineering
Rapoarte MASVS
Securitatea aplicațiilor mobile în practică

De ce contează securitatea aplicațiilor mobile

Aplicațiile mobile gestionează date sensibile, tranzacții financiare și procese de autentificare. Atacatorii știu acest lucru și vizează prioritari platformele de tip mobile-first.

75%
din aplicații nu trec testele de bază
83%
au stocare de date nesigură
91%
din aplicațiile iOS au defecte de criptare
6.5M
mostre de malware pentru dispozitive mobile (2024)
Provocarea

Riscurile de securitate ale aplicațiilor mobile

Aplicațiile mobile rulează în afara perimetrelor tradiționale de control, generând riscuri de securitate distincte care necesită măsuri de protecție și metodologii de testare specializate.

Atacuri la nivelul dispozitivului

Spre deosebire de aplicațiile web, cele mobile rulează pe dispozitive pe care nu le puteți controla. Atacatorii pot obține acces de tip „root” sau „jailbreak”, pot intercepta traficul de date și pot supune fișierul binar unui proces de reverse engineering.

Rooting Jailbreaking

Stocare locală nesigură

Datele de autentificare, token-urile și informațiile sensibile sunt adesea păstrate necorespunzător pe dispozitiv. Utilizarea incorectă a SharedPreferences sau Keychain, precum și bazele de date stocate în format text clar (plaintext), expun utilizatorii unor riscuri majore.

Keychain SharedPrefs

Comunicații de rețea

Ocolirea mecanismelor de „certificate pinning”, utilizarea protocolului nesigur HTTP sau configurațiile slabe de tip TLS. Atacurile de tip „Man-in-the-middle” permit interceptarea datelor sensibile aflate în tranzit.

SSL/TLS Cert Pinning

Vulnerabilități la nivel de binar

Codul nativ (C/C++), erorile de ofuscare, secretele integrate direct în cod (hardcoded) și flag-urile de depanare (debug) lăsate în versiunea de producție. Procesul de „reverse engineering” poate scoate la iveală întreaga logică a aplicației.

Reverse Engineering

Vulnerabilități în mecanismele de autentificare

Ocolirea autentificării biometrice, gestionarea incorectă a token-urilor și a sesiunilor, precum și erori de implementare OAuth. Provocările specifice mediului mobile necesită metode de testare dedicate.

Biometrics OAuth

Securitatea interfețelor API (Backend)

Aplicațiile mobile sunt, în esență, clienți ai acestor interfețe API. Vulnerabilitățile la nivelul API-urilor, erorile de autorizare și problemele de tip „mass assignment” pot compromite întreaga infrastructură.

REST GraphQL

Biblioteci și SDK-uri de la terți

Modulele de analiză, publicitate sau plăți: nu dumneavoastră ați scris codul, dar sunteți responsabil pentru securitatea acestuia. Riscurile de tip „supply chain” sunt o amenințare reală.

Supply Chain

Erori de configurare la nivel de platformă

Activități exportate necorespunzător, interceptarea legăturilor de tip „deep link”, atacuri asupra clipboard-ului și vulnerabilități IPC (Inter-Process Communication). Mecanismele de securitate specifice platformelor iOS și Android necesită o revizuire din partea experților.

Android iOS

Nivelul de expertiză în securitate al dezvoltatorilor

Dezvoltatorii de aplicații mobile nu sunt întotdeauna experți în securitate, iar competențele în Swift sau Kotlin nu includ neapărat modelarea amenințărilor (threat modeling). Din acest motiv, aplicațiile ajung în producție cu vulnerabilități ce ar fi putut fi evitate.

SDLC
Avantajul tău

Beneficiile unei testări profesionale a aplicațiilor mobile

Testare realizată de experți, care depășește limitele scanărilor automate: identificăm vulnerabilitățile critice înaintea atacatorilor.

Analiza aprofundată a fișierelor binare

Procesele de „reverse engineering”, runtime manipulation și modificarea binarului (binary patching) scot la iveală vulnerabilități ascunse în codul compilat.

Pentru echipele de dezvoltare

Analiza detaliată a bibliotecilor native, a eficienței ofuscării și a secretelor integrate direct în cod (hardcoded).

Pentru leadership

Protecția proprietății intelectuale și prevenirea proceselor de reverse engineering asupra logicii de business

Validarea stocării securizate a datelor

Testare cuprinzătoare a stocării locale, a utilizării Keychain/Keystore și a modului de implementare a criptării.

Pentru echipele de dezvoltare

Analiza bazelor de date SQLite, auditarea SharedPreferences și revizuirea implementării mecanismelor criptografice

Pentru leadership

Prevenirea breșelor de date în cazul pierderii sau furtului dispozitivelor

Testarea securității rețelei

Tentative de ocolire a mecanismului de „certificate pinning”, analiza configurațiilor TLS și testarea interceptării traficului de date.

Pentru echipele de dezvoltare

Revizuirea implementării „pinning-ului”, securitatea endpoint-urilor API și validarea mTLS

Pentru leadership

Protejarea datelor clienților aflate în tranzit și prevenirea atacurilor de tip Man-in-the-Middle (MITM)

Conformitatea cu standardul MASVS

Testare aliniată cu metodologiile OWASP MASVS și MASTG - standardele de referință în industria securității mobile.

Pentru echipele de dezvoltare

Acoperire completă a nivelurilor MASVS L1/L2, corespondența cu cazurile de testare MASTG și îndrumări detaliate pentru remediere

Pentru leadership

Conformitate cu standardele industriei și furnizarea unui raport pregătit pentru audit

Securitate specifică platformelor mobile

Expertiză aprofundată în modelele de securitate iOS și Android, gestionarea permisiunilor și vulnerabilitățile specifice fiecărui sistem de operare.

Pentru echipele de dezvoltare

iOS: Analiza Keychain, a politicilor App Transport Security și a drepturilor de tip Entitlements | Android: Securizarea obiectelor Intent, a furnizorilor de conținut (Content Providers) și a sistemului de permisiuni

Pentru leadership

Acoperire completă a întregului portofoliu de aplicații mobile

Protejarea reputației brandului

Compromiterea unei aplicații mobile devine rapid subiect de presă. Testarea proactivă protejează încrederea clienților și prestigiul brandului tău.

Pentru echipele de dezvoltare

Testare înainte de lansare (Pre-release), testare de regresie și integrare directă în fluxurile CI/CD

Pentru leadership

Evitarea breșelor de date costisitoare, menținerea încrederii clienților și protejarea veniturilor

Servicii de Testare

Servicii de mobile app penetration testing: arii de expertiză

Testare realizată de experți, care merge dincolo de simplele scanări automate: identificăm vulnerabilitățile critice înaintea atacatorilor.

Testarea securității aplicațiilor iOS

Evaluarea complexă a securității aplicațiilor iOS, cuprinzând analiza binarului, manipularea proceselor în timp real (runtime) și verificarea mecanismelor de control specifice ecosistemului iOS.

Află mai multe
Analiză binară (IPA)
Auditarea securității Keychain
Validarea politicilor App Transport Security (ATS)
Bypass detecție jailbreak
Analiza drepturilor de acces (Entitlements)
Revizuirea mecanismelor criptografice specifice iOS
Manipularea proceselor în timp de execuție (utilizând Frida)
Clase de protecție a datelor
Metodologia noastră

Cum testăm aplicațiile mobile

Metodologia noastră este aliniată standardului OWASP MASTG, completată de tehnici de atac din lumea reală.

01
Ziua 1

Definire obiective & setup

Analizăm arhitectura aplicației, platformele vizate și cerințele specifice de testare. Configurăm dispozitivele de test și pregătim conturile necesare.

Apel kickoff Livrare binar aplicație Setup conturi test Configurarea dispozitivelor de test Confirmare obiective Reguli de desfășurare
02
Ziua 1-3

Analiză statică

Analizăm binarul prin reverse engineering, investigăm structura codului, identificăm secrete expuse (hardcoded) și analizăm întreaga suprafeță de atac.

Decompilare APK/IPA Detecție secrete Analiză obfuscare Analiză permisiuni Inventar SDK-uri Analiză entitlements
03
Ziua 2-5

Analiză dinamică

Rulăm aplicația pe dispozitive instrumentate, interceptăm traficul, utilizăm tehnici de „hooking” pe funcții și analizăm comportamentului la runtime.

Interceptare trafic Bypass certificate pinning Instrumentare Frida Manipulare runtime Analiză stocare
04
Ziua 4-7

Testarea securității interfețelor API (Backend)

Evaluăm API-urile care susțin aplicația mobilă, verificând mecanismele de autentificare și autorizare, precum și vulnerabilitățile de tip injection.

Enumerare API Ocolirea mecanismelor de autentificare Testare BOLA/BFLA Atacuri injection Rate limiting Logică business
05
Ziua 8-10

Raportare & debriefing

Raport complet de audit, aliniat la standardul MASVS, ce include un sumar executiv, fișele tehnice ale vulnerabilităților și recomandări detaliate pentru remediere.

Sumar executiv Analiză MASVS Raport tehnic Ghid remediere Prezentare debriefing
06
Inclus

Retestare

După implementarea măsurilor de remediere, verificăm eficiența soluțiilor aplicate. Raportul actualizat confirmă faptul că vulnerabilitățile identificate au fost eliminate integral.

Verificare remedieri Testare regresie Raport actualizat Atestare de securitate
Ce primești

Livrabile în baza cărora poți acționa eficient

Rapoarte clare și detaliate, mapate pe standardul OWASP MASVS, concepute atât pentru echipele tehnice, cât și pentru factorii de decizie.

Sumar executiv

Raport pregătit pentru board, cuprinzând evaluarea riscurilor, impactul asupra afacerii și recomandări strategice.

  • Scor de risc
  • Impact business
  • Constatări cheie
  • Recomandări strategice

Raport MASVS

Vulnerabilități corelate cu măsurile de control OWASP MASVS, incluzând statusul de conformitate (Admis/Respins) pentru fiecare cerință.

  • Acoperire MASVS-L1/L2
  • Scenarii de testare conform MASTG
  • Identificarea lacunelor de securitate
  • Status conformitate

Raport tehnic

Documentarea detaliată a vulnerabilităților, cuprinzând pașii de reproducere, demonstrarea conceptului (PoC) și dovezile aferente.

  • Scoruri CVSS
  • Capturi de ecran
  • Demonstrații video
  • Analiză cauze

Ghid de remediere

Recomandări de remediere specifice fiecărei platforme, incluzând exemple de cod pentru iOS și Android.

  • Exemple Swift/Kotlin
  • Modificări configurare
  • Recomandări SDK
  • Prioritizare

Raport retestare

Livrăm un raport de confirmare a remedierilor, care atestă eficiența soluțiilor implementate. La finalul procesului, emitem o scrisoare de atestare (Clean Attestation).

  • Verificare remedieri
  • Verificare regresie
  • Raport delta
  • Scrisoare atestare

Debriefing live

Sesiune de prezentare pentru echipele de dezvoltare și securitate, incluzând demonstrații live ale vulnerabilităților identificate.

  • Analiza vulnerabilităților identificate
  • Demo atacuri
  • Sesiune Q&A
  • Planificare remediere
FAQ

Întrebări frecvente

Răspunsuri la întrebările comune despre mobile application penetration testing.

Da, deținem expertiză dedicată pentru ambele platforme. Testăm aplicații native (Swift/Objective-C, Kotlin/Java), hibride (React Native, Flutter, Xamarin, Ionic), precum și interfețele API (Backend) care le susțin. Tarifele sunt aplicate, de regulă, per platformă, oferind discounturi pentru testarea ambelor ecosisteme.

Pentru iOS avem nevoie de un fișier .IPA sau de acces prin TestFlight, iar pentru Android de un fișier .APK sau .AAB. De asemenea, vom avea nevoie de conturi de test pentru fiecare rol de utilizator, documentația API (dacă este disponibilă) și orice acces necesar la backend. Dacă avem acces la codul sursă, acesta poate accelera procesul de testare și ne permite să oferim o analiză mult mai aprofundată.

Nu, realizăm testări de tip „black-box” fără acces la codul sursă, utilizând tehnici avansate de reverse engineering. Totuși, dacă acesta este disponibil (abordare „gray-box”), procesul devine mai eficient și mai detaliat. Recomandăm oferirea accesului la codul sursă acolo unde este posibil, sub protecția unui acord de confidențialitate (NDA).

În medie, un penetration test pentru o aplicație mobilă durează între 5 și 10 zile lucrătoare per platformă. Aplicațiile simple pot fi evaluate în 3-5 zile, în timp ce proiectele complexe, cu numeroase funcționalități și roluri de utilizator, pot necesita până la 2 săptămâni. De regulă, testarea pentru iOS și Android se poate desfășura în paralel.

Da, testăm în mod curent aplicații aflate în faza de pre-lansare. Pentru iOS, ne puteți oferi acces prin TestFlight sau ne puteți trimite un fișier IPA semnat cu un certificat de tip 'Enterprise' sau 'Development'. Pentru Android, este suficient să ne furnizați fișierul APK. Recomandăm realizarea testării înainte de lansarea publică.

Da, testarea API-urilor de backend este inclusă în evaluările noastre complexe de securitate mobilă. Aplicațiile mobile sunt, în esență, doar clienți API: dacă API-ul este vulnerabil, întreaga aplicație este expusă. Testăm mecanismele de autentificare și autorizare, vulnerabilitățile de tip injection și logica de business direct pe server.

MASVS (Mobile Application Security Verification Standard) definește cerințele de securitate pentru aplicațiile mobile pe două niveluri (L1 și L2). MASTG (Mobile Application Security Testing Guide) furnizează cazurile de testare detaliate. Procesul nostru de testare este aliniat acestor standarde industriale, iar rapoartele finale includ maparea rezultatelor conform cerințelor MASVS.

Da, evaluarea eficienței mecanismelor de detecție pentru jailbreak și root face parte din procesul nostru de testare. Utilizăm diverse tehnici pentru a ocoli aceste controale și pentru a le testa reziliența. În cazul în care reușim să efectuăm un bypass, furnizăm recomandări concrete pentru îmbunătățirea algoritmilor de detecție.

Da, atunci când codul sursă este disponibil. Revizuim Swift/Objective-C pentru iOS, Kotlin/Java pentru Android și Dart/JavaScript pentru aplicațiile hibride. Auditul de cod combinat cu testarea dinamică oferă cea mai cuprinzătoare evaluare a securității.

Realizăm un inventar și analizăm SDK-urile de la terți pentru a identifica vulnerabilități cunoscute, permisiuni excesive și potențiale scurgeri de date (data leakage). Acest aspect este tot mai critic, având în vedere că atacurile de tip „supply chain” vizează frecvent SDK-urile populare. Oferim recomandări concrete pentru securizarea utilizării acestora.

Specialiști în securitate mobile

Testerii noștri sunt specializați în securitatea iOS și Android, având o expertiză aprofundată în reverse engineering și tehnici de atac specifice platformelor mobile

CREST OSCP eMAPT GMOB OWASP MASTG

Aplicația ta mobilă se află în buzunarele a milioane de oameni.

Fiecare descărcare reprezintă un potențial vector de atac. Experții noștri în securitate mobilă vă ajută să identificați și să remediați vulnerabilitățile înainte ca atacatorii să le exploateze. Utilizatorii vă încredințează datele lor - lăsați-ne pe noi să vă ajutăm să le protejați.