Penetracni testovani mobilnich aplikaci

Nepřátelské mobilní prostředí

Aplikace v telefonu běží ve zcela nepřátelském prostředí (v kapse útočníka). Útočník má pod kontrolou hardware, operační systém i samotný kód. Jakmile vaše mobilní aplikace spoléhá na to, že rozhodnutí o bezpečnosti provede samotný mobilní klient, dříve nebo později o data přijdete. My auditujeme reálné nasazené instalační balíčky pro Android (APK/AAB) i iOS (IPA) naprosto exaktně na základě celosvětového standardu OWASP MASVS a zkoumáme, co se stane, když se telefon obrátí proti vám.

Dekomplice, Frida a SSL Unpinning

Při testování opravdu jen neťukáme prstem do displeje. Binární kód vaší aplikace doslova roztrháme na kusy. Dekompilujeme zdrojové kódy a hrubou silou vyřazujeme vaše ochrany proti Root/Jailbreaku. Nasazujeme nástroje jako Frida, pomocí kterých se napojíme na paměť běžící aplikace, a natvrdo obejdeme přihlášení obličejem (FaceID/TouchID). Jakmile z aplikace vyřízneme tzv. SSL Certificate Pinning, získáme schopnost zachytit, dešifrovat a libovolně manipulovat každým jednotlivým API dotazem, který aplikace odesílá na váš backend.

Plán pro vaše mobilní vývojáře

Na konci dostane váš vývojový tým (React Native, Flutter, Swift či Kotlin developeři) tvrdý technický dokument. Všechny nálezy pečlivě zhodnotíme dle skóre CVSS v3.1 a naparujeme do příslušné kategorie standardu OWASP MASVS. Ukážeme důkazy (Proof of Concept) o tom, kde přesně data z mobilu tečou nešifrovaně (nebo končí nezabezpečená v SQLite databázi lokálně na disku) a obratem dodáme hotové kousky kódu a best-practices, jak správně pracovat s iOS Keychain či Android KeyStore, abyste klientská data ochránili definitivně.