Pentest Mobile
Testy penetracyjne aplikacji mobilnych
Analizujemy bezpieczeństwo aplikacji Android i iOS, komunikacji z API, przechowywania danych, tokenów, certyfikatów oraz odporności aplikacji na manipulację. Sprawdzamy aplikację, backend i sposób obsługi danych użytkownika.
Dlaczego warto
Bezpieczeństwo aplikacji mobilnej to nie tylko kod na telefonie
Pentest mobile obejmuje aplikację, sposób komunikacji z backendem, przechowywanie danych lokalnych, mechanizmy uwierzytelniania oraz konfigurację zabezpieczeń platformy mobilnej. W praktyce wiele istotnych ryzyk pojawia się na styku aplikacji i API.
Analiza aplikacji
Sprawdzamy konfigurację aplikacji, uprawnienia, logi, lokalne przechowywanie danych, sekrety, zależności i mechanizmy ochronne.
Komunikacja z API
Testujemy szyfrowanie, obsługę certyfikatów, tokeny, błędy autoryzacji, ekspozycję zasobów i podatności backendu.
Odporność na manipulację
Weryfikujemy możliwość modyfikacji aplikacji, obchodzenia kontroli, analizy ruchu oraz pozyskania wrażliwych informacji.
Proces
Jak prowadzimy testy aplikacji mobilnych?
Łączymy analizę statyczną, dynamiczną i testy komunikacji z usługami backendowymi. Zakres dopasowujemy do platformy, wersji aplikacji, modelu logowania i scenariuszy biznesowych.
01
Buildy i dostęp
Ustalamy platformy, wersje aplikacji, konta testowe, środowisko backendu, scenariusze użycia oraz ograniczenia testu.
02
Analiza statyczna
Sprawdzamy pliki aplikacji, manifest, konfigurację, zależności, sekrety, uprawnienia i ustawienia bezpieczeństwa.
03
Analiza dynamiczna
Testujemy aplikację podczas działania: ruch sieciowy, storage, sesje, certyfikaty, backend API i zachowanie przy manipulacji.
04
Raport i konsultacja
Przekazujemy wyniki zespołowi mobilnemu i backendowemu, wraz z priorytetami, dowodami i rekomendacjami naprawczymi.
Efekt współpracy
Co zawiera raport po pentestach mobile?
Raport pokazuje podatności aplikacji, backendu i konfiguracji platformy wraz z rekomendacjami dla developerów Android, iOS oraz zespołu odpowiedzialnego za API.
FAQ
Najczęstsze pytania
Czy testujecie również API aplikacji mobilnej?
Tak. W praktyce wiele krytycznych podatności mobile wynika z błędów API lub kontroli dostępu po stronie backendu, dlatego API zwykle jest ważną częścią testu.
Czy potrzebujecie kodu źródłowego?
Nie zawsze. Możemy wykonać test black-box lub grey-box, a przy dostępie do kodu rozszerzyć analizę o elementy SAST i przegląd implementacji.
Czy test obejmuje Android i iOS?
Tak, jeśli aplikacja występuje na obu platformach i taki zakres zostanie uzgodniony. Możemy też przetestować tylko jedną platformę lub wybrane komponenty.
Czy sprawdzacie odporność na reverse engineering?
Tak, możemy sprawdzić możliwość analizy aplikacji, modyfikacji jej zachowania, obchodzenia wybranych kontroli oraz ekspozycji sekretów lub logiki w aplikacji.
Zweryfikuj bezpieczeństwo aplikacji mobilnej
Pomożemy dobrać zakres testu do platformy, modelu logowania, backendu API i scenariuszy biznesowych aplikacji.