Ethredix Ethredix
EN

Penetrační testování mobilních aplikací

Komplexní bezpečnostní testování mobilních aplikací pro Android a iOS podle OWASP MASTG a MASVS standardů.

OWASP MASTG

Mobile Application Security Testing Guide - kompletní metodika pro testování mobilních aplikací.

OWASP MASVS

Mobile Application Security Verification Standard - standard pro ověřování bezpečnosti mobilních aplikací.

Platform Specific

Testování specifických zranitelností Android a iOS podle jejich bezpečnostních guidelines.

OWASP Mobile Top 10

Nejčastější zranitelnosti mobilních aplikací

M1 – Improper Platform Usage

Nesprávné použití platform-specific funkcí nebo selhání bezpečnostních kontrol poskytovaných platformou.

TouchID bypass, Keychain misuse, Android permissions abuse

M2 – Insecure Data Storage

Citlivá data uložena bez šifrování v lokálním úložišti, databázích nebo cache.

SQLite bez šifrování, SharedPreferences, NSUserDefaults

M3 – Insecure Communication

Nedostatečné zabezpečení síťové komunikace, slabé TLS konfigurace nebo absence certificate pinningu.

HTTP místo HTTPS, slabé ciphers, chybějící SSL pinning

M4 – Insecure Authentication

Slabé autentizační mechanismy, nesprávná session správa nebo absence biometrické autentizace.

Slabá hesla, perzistentní tokeny, chybějící MFA

M5 – Insufficient Cryptography

Použití slabých kryptografických algoritmů nebo nesprávná implementace šifrování.

Hardcoded keys, MD5/SHA1, ECB mode

M6 – Insecure Authorization

Nedostatečná kontrola oprávnění na client-side nebo snadno obcházená autorizace.

Client-side access control, role confusion

M7 – Client Code Quality

Zranitelnosti způsobené špatnou kvalitou kódu jako buffer overflows nebo memory leaks.

Buffer overflow, use-after-free, format string

M8 – Code Tampering

Absence ochrany proti modifikaci aplikace, repackaging nebo runtime manipulaci.

Chybějící root/jailbreak detection, repackaging

M9 – Reverse Engineering

Absence code obfuscation a anti-debugging mechanismů usnadňuje analýzu aplikace.

Chybějící obfuskace, hardcoded secrets, debug symbols

M10 – Extraneous Functionality

Zanechané debug funkce, testovací účty nebo skryté backdoors v produkční verzi.

Debug logs, test endpoints, admin panels

Testovací oblasti

🤖 Android Specific

  • → AndroidManifest.xml analýza
  • → Intent filtering a deeplinks
  • → Content Providers security
  • → Broadcast Receivers
  • → ProGuard/R8 obfuscation
  • → Root detection bypass

🍎 iOS Specific

  • → Info.plist konfigurace
  • → Keychain použití
  • → App Transport Security
  • → Universal Links
  • → Code signing
  • → Jailbreak detection bypass

Static Analysis

Dekompilace, source code review, hardcoded secrets, insecure libraries.

Dynamic Analysis

Runtime hooking, API interception, memory dumps, SSL pinning bypass.

Network Analysis

Man-in-the-middle testing, certificate validation, API security.

Výstup testování

Management Summary

Exekutivní přehled s rizikovým profilem, MASVS compliance skóre a business dopadem.

Technické nálezy

  • → Lokace v source code
  • → CVSS v3.1 skóre
  • → Reprodukční kroky
  • → Video PoC

MASVS Compliance

Detailní mapování nálezů na MASVS kontroly s compliance reportem.

Remediační návod

  • → Platform-specific fixes
  • → Code snippets
  • → Library doporučení

Proces

01

Příprava a scoping

Definice rozsahu, získání APK/IPA, nastavení testovacího prostředí.

02

Statická analýza

Dekompilace, source code review, manifest analýza, dependency check.

03

Dynamická analýza

Runtime testing, Frida hooking, SSL pinning bypass, memory dumps.

04

Síťová analýza

MITM testing, API fuzzing, certificate validation testing.

05

Reporting

Kompilace reportu s MASVS compliance, nálezy a remediačními doporučeními.

Objednat penetrační test