Elementrica
03Realizacje04Referencje05Firma06Aktualności07Kontakt
PLENDE

TESTY PENETRACYJNE APLIKACJI MOBILNYCH

Testy penetracyjne aplikacji mobilnych: sprawdź, czy dane Twoich klientów są bezpieczne

Testy aplikacji iOS i Android według OWASP MASVS i MASTG, prowadzone przez pentesterów z OSCP. Analiza statyczna i dynamiczna, dane lokalne, komunikacja z API i odporność na inżynierię wsteczną.

Testy według OWASP MASVS i MASTGiOS i Android, analiza statyczna i dynamicznaDane lokalne, API i komunikacja sieciowaRaport z dowodami i retest po naprawie

DLACZEGO TO WAŻNE

Aplikacja mobilna działa na urządzeniu, nad którym nie masz kontroli

W odróżnieniu od aplikacji web, kod mobilny jest w rękach użytkownika, a więc i potencjalnego napastnika. Można go zdekompilować, podejrzeć, a aplikację uruchomić na urządzeniu z rootem. Zabezpieczenia oparte tylko na zaufaniu do klienta nie istnieją.

Przykład z naszej praktyki: aplikacja trzymała token sesji w pamięci lokalnej bez szyfrowania, a jednocześnie nie weryfikowała certyfikatu serwera. Wystarczyło przejęcie urządzenia lub sieci, by przejąć konto. Backend był bezpieczny, problem był w aplikacji.

CO SPRAWDZAMY

Od kodu aplikacji po komunikację z serwerem

01
Przechowywanie danych
Dane wrażliwe i tokeny w pamięci lokalnej, keychain, bazach i logach urządzenia.
02
Komunikacja sieciowa
Szyfrowanie transportu, weryfikacja certyfikatu i odporność na przechwycenie ruchu.
03
Uwierzytelnianie
Logika logowania, sesje, biometria i obsługa MFA po stronie aplikacji.
04
Inżynieria wsteczna
Dekompilacja, czytelność kodu, klucze i sekrety zaszyte w aplikacji.
05
Platforma i IPC
Nadużycie uprawnień, niebezpieczne komponenty, deep linki i komunikacja między aplikacjami.
06
Warstwa API
Testujemy też backend, z którym rozmawia aplikacja. Tu często jest realne ryzyko.

Testujemy iOS i Android osobno, bo każda platforma ma własne pułapki bezpieczeństwa.

NASZE PODEJŚCIE

Analiza statyczna i dynamiczna na realnym urządzeniu

Łączymy analizę statyczną (dekompilacja, przegląd kodu i konfiguracji) z dynamiczną (aplikacja uruchomiona na urządzeniu z instrumentacją). Dopiero razem pokazują pełny obraz: co aplikacja robi i co da się z nią zrobić.

Pracujemy według OWASP MASTG, więc każdy test jest powtarzalny i mapowany na MASVS. Sprawdzamy aplikację tak, jak zrobiłby to napastnik z pełnym dostępem do urządzenia, bo dokładnie taka jest rzeczywistość.

ZGODNOŚĆ

Test wymagany przez regulacje i sklepy z aplikacjami

Bezpieczeństwo aplikacji mobilnej to element zgodności i warunek publikacji w sklepach oraz w branżach regulowanych.

DORA / NIS2
Testowanie aplikacji jako element zarządzania ryzykiem ICT.
ISO 27001
Dowód skuteczności zabezpieczeń (A.8) dla aplikacji przetwarzających dane.
OWASP MASVS
Uznany standard weryfikacji bezpieczeństwa aplikacji mobilnych.

STANDARDY I CERTYFIKATY

Pracujemy według uznanych metodyk, nie według intuicji

Każdy projekt prowadzą certyfikowani pentesterzy, a testy opieramy na publicznych standardach, więc wynik jest powtarzalny, audytowalny i porównywalny między dostawcami.

Certyfikaty zespołu
OSCPOSCPOffSec
OSEPOSEPOffSec
OSWEOSWEOffSec
OSEDOSEDOffSec
OSWAOSWAOffSec
OSWPOSWPOffSec
BSCPBSCPPortSwigger
CPTSCPTSHack The Box
CBBHCBBHHack The Box
CWEECWEEHack The Box
CRTOCRTOZero-Point Security
CREST CRTCREST CRTCREST
CREST CPSACREST CPSACREST
ISO 27001 LAISO 27001 LAISO/IEC
Azure Security EngineerAzure Security EngineerMicrosoft
Security Operations AnalystSecurity Operations AnalystMicrosoft
Security AdministratorSecurity AdministratorMicrosoft
OSCPOSCPOffSec
OSEPOSEPOffSec
OSWEOSWEOffSec
OSEDOSEDOffSec
OSWAOSWAOffSec
OSWPOSWPOffSec
BSCPBSCPPortSwigger
CPTSCPTSHack The Box
CBBHCBBHHack The Box
CWEECWEEHack The Box
CRTOCRTOZero-Point Security
CREST CRTCREST CRTCREST
CREST CPSACREST CPSACREST
ISO 27001 LAISO 27001 LAISO/IEC
Azure Security EngineerAzure Security EngineerMicrosoft
Security Operations AnalystSecurity Operations AnalystMicrosoft
Security AdministratorSecurity AdministratorMicrosoft
Metodyki
OWASP MASTGPTESNIST SP 800-115
Standardy weryfikacji
OWASP MASVSOWASP ASVS 5.0.0
Listy Top 10
OWASP Mobile Top 10OWASP API Security Top 10

Pełną listę certyfikatów i standardów udostępniamy na życzenie, razem z przykładowym zakresem testu.

JAK TO ROBIMY

Powtarzalny proces według MASTG

01
Uzgodnienie zakresu
Ustalamy platformy, wersje i konta testowe, zanim zaczniemy.
02
Analiza statyczna
Dekompilujemy aplikację i przeglądamy kod, konfigurację i sekrety.
03
Analiza dynamiczna
Uruchamiamy aplikację na urządzeniu z instrumentacją i obserwujemy działanie.
04
Testy API
Sprawdzamy backend, z którym aplikacja się komunikuje.
05
Raport i retest
Dostarczamy raport z priorytetami, a po naprawie potwierdzamy usunięcie luk.

DOWODY

Twarde liczby z naszych projektów

Każdy test prowadzą certyfikowani pentesterzy, a wynik dokumentujemy krokami odtworzenia, dowodami i zweryfikowaną ścieżką naprawy. Dowód, nie obietnica.

500+
zrealizowanych testów i audytów bezpieczeństwa
5.0
średnia ocena z 10 zweryfikowanych opinii w Clutch
20+
certyfikatów ofensywnych w zespole
01
Certyfikowany zespół
20+ certyfikatów ofensywnych w zespole (OSCP, OSEP, OSWE, CREST). Testy prowadzą nasi ludzie, nie anonimowi podwykonawcy.
02
Testy manualne
Pracujemy manualnie według PTES i OWASP. Łączymy pozornie drobne błędy w realną, potwierdzoną ścieżkę ataku.
03
Dowód, nie obietnica
Każda podatność z krokami odtworzenia i działającym dowodem. Raport, który obroni się przed audytorem.
04
Retest w cenie
Po wdrożeniu poprawek potwierdzamy usunięcie luk na piśmie. Nie znikamy po wysłaniu PDF-a.

WIEDZA

Testy penetracyjne aplikacji mobilnych w praktyce

Dlaczego aplikacja mobilna wymaga osobnego testu

Aplikacja mobilna działa na urządzeniu, którego nie kontrolujesz, więc napastnik ma czas i pełny dostęp do kodu, pamięci oraz ruchu sieciowego. Testujemy ją według OWASP MASTG i MASVS, sprawdzając zarówno samą aplikację, jak i jej komunikację z backendem.

Inaczej niż w aplikacji web, część logiki i danych ląduje na telefonie. Dlatego analizujemy, co aplikacja zapisuje lokalnie, jak chroni klucze i czy da się ją uruchomić na urządzeniu z rootem lub po jailbreaku.

Analiza statyczna i dynamiczna na realnym urządzeniu

Zaczynamy od analizy statycznej pakietu IPA lub APK: dekompilujemy kod, szukamy zaszytych sekretów, kluczy API i słabej kryptografii. Tę warstwę skaner pokaże tylko częściowo, bo nie rozumie kontekstu działania aplikacji.

Następnie uruchamiamy aplikację na realnym urządzeniu i obserwujemy ją w działaniu: przechwytujemy ruch, manipulujemy żądaniami, omijamy mechanizmy obronne takie jak certificate pinning. Dopiero połączenie obu metod daje pełny obraz.

Najczęstsze błędy w aplikacjach iOS i Android

Najczęściej znajdujemy wrażliwe dane zapisane bez szyfrowania, tokeny sesji trzymane w łatwo dostępnych miejscach oraz autoryzację realizowaną po stronie klienta, którą da się obejść. Każdy z tych błędów wygląda niegroźnie, dopóki ktoś go nie wykorzysta.

Sprawdzamy też komunikację z API, bo to tam zwykle leży realne ryzyko: aplikacja mobilna jest tylko jednym z klientów backendu. Błąd autoryzacji w API odsłania dane niezależnie od tego, jak dobrze zabezpieczona jest sama aplikacja.

Co dostajesz w raporcie i kiedy testować

Raport opisuje każdą podatność z dowodem, oceną CVSS i krokami odtworzenia, osobno dla iOS i Androida, jeśli testujemy obie platformy. Dokładamy podsumowanie biznesowe i priorytety naprawcze ułożone według ryzyka.

Aplikację mobilną warto testować przed publikacją w sklepie oraz po każdej większej zmianie funkcji lub modelu uprawnień. Po naprawie wykonujemy retest i potwierdzamy, że luki zostały zamknięte.

FAQ

Pytania, które słyszymy najczęściej

Testujecie obie platformy?

Tak. iOS i Android testujemy osobno, bo różnią się mechanizmami bezpieczeństwa, przechowywaniem danych i modelem uprawnień.

Potrzebujecie kodu źródłowego?

Nie jest konieczny, pracujemy też na samej aplikacji. Dostęp do kodu pozwala jednak przetestować szerzej i szybciej, w modelu grey-box.

Czy testujecie też backend?

Tak. API, z którym rozmawia aplikacja, to często miejsce realnego ryzyka, więc obejmujemy je zakresem.

Czy retest jest w cenie?

Tak. Po wdrożeniu poprawek sprawdzamy ponownie wskazane luki i potwierdzamy ich usunięcie.

POWIĄZANE

Powiązane artykuły

REALIZACJE

Realizacje w tym obszarze

REFERENCJE

“Projekt zrealizowano profesjonalnie i terminowo, z dobrym zrozumieniem zarówno technologii, jak i biznesu. Zrobiła na nas wrażenie ich ekspertyza w cyberbezpieczeństwie i partnerskie podejście.”

PIERWSZY KROK

Zacznij od bezpłatnej konsultacji

Opisz, co chcesz sprawdzić. W ciągu 24 h dostaniesz propozycję zakresu i kolejnych kroków. Rozmawiasz z konsultantem, który rozumie techniczną stronę.

Skontaktuj się z nami
Bez zobowiązań · odpowiadamy w 24 h · Twoje dane pozostają poufne
Metodyka
PTES · OWASP
Zespół
20+ certyfikatów
Ocena
5.0 w Clutch
Co dostajesz
Propozycja zakresu dopasowana do Twojego ryzyka
Raport z dowodami i krokami odtworzenia
Priorytety naprawcze według realnego wpływu
Retest po wdrożeniu poprawek
Asia, ElementricaKacper, ElementricaGrzesiek, Elementrica
Konsultację prowadzi osoba z naszego zespołu, zwykle w ciągu 24 h. Bez botów i call center.