Testy penetracyjne aplikacji mobilnych

Testy penetracyjne aplikacji mobilnych iOS / Android

Testy bezpieczeństwa aplikacji mobilnych zostaną przeprowadzone z wykorzystaniem podejścia dwutorowego – poprzez analizę statyczną kodu aplikacji oraz analizę dynamiczną działania aplikacji w kontrolowanym środowisku testowym. Weryfikacja aplikacji w zakresie wskazanej funkcjonalności zostanie wykonana zgodnie z wymaganiami standardów oraz wymagań:

• OWASP Mobile Top 10
• OWASP Mobile Application Security Testing Guide (MSTG)
• OWASP Mobile Application Security Verification Standard (MASVS).

W trakcie testów zostaną przeanalizowane następujące obszary bezpieczeństwa aplikacji mobilnych:

• Architektura aplikacji – ocena struktury, komponentów i ich interakcji,
• Przechowywanie danych – identyfikacja wrażliwych danych zapisywanych lokalnie, ich ochrona i ewentualne narażenie,
• Zastosowanie kryptografii – weryfikacja poprawności implementacji algorytmów szyfrowania, przechowywania kluczy i mechanizmów ochrony danych,
• Mechanizmy uwierzytelniania i zarządzania sesją – ocena bezpieczeństwa procesu logowania, utrzymania sesji oraz odporności na ataki,
• Komunikacja sieciowa aplikacji – analiza zabezpieczeń transmisji danych, takich jak TLS, weryfikacja certyfikatów, ochrona przed MITM,
• Interakcja aplikacji ze środowiskiem mobilnym – badanie komunikacji z innymi aplikacjami, komponentami systemowymi i usługami urządzenia,
• Konfiguracja aplikacji – analiza uprawnień, manifestów, ustawień builda oraz opcji debugowania,
• Zabezpieczenia przed inżynierią wsteczną – weryfikacja odporności aplikacji na dekompilację, debugowanie oraz manipulacje w czasie rzeczywistym.

Testy będą obejmować zarówno manualną weryfikację poszczególnych klas podatności, jak i automatyczne skanowanie, przeprowadzane równolegle w celu uzyskania pełnego obrazu poziomu bezpieczeństwa aplikacji.

W trakcie testów zostaną wykorzystane specjalistyczne narzędzia, w tym:

• Burp Suite Professional – do przechwytywania, analizy i modyfikacji ruchu sieciowego,
• Frida – do dynamicznej instrumentacji i analizowania działania aplikacji,
• Objection – do testów na zrootowanych/jailbreakowanych urządzeniach,
• MobSF – Mobile Security Framework – do automatycznej analizy statycznej i dynamicznej,
• Android Studio – jako środowisko do testów aplikacji Android,
• Xcode – do analizy aplikacji iOS,
• Dodatkowe narzędzia i skrypty dostępne w systemie Kali Linux, wykorzystywane w testach komunikacji, analizie API, debugowaniu i eksploracji kodu aplikacji.

Raportowanie

Po zakończeniu testów dostarczony zostanie szczegółowy raport zawierający:

• Zidentyfikowane podatności, sklasyfikowane według poziomu istotności (Krytyczne, Wysokie, Średnie, Niskie oraz Informacyjne), co umożliwia szybkie zrozumienie priorytetów oraz zakresu ryzyk dla organizacji.
• Szczegóły każdej podatności, obejmujące:
  • techniczny i biznesowy opis problemu,
  • przypisany poziom ryzyka zgodny z uznanymi standardami (np. CVSS),
  • możliwe skutki wykorzystania podatności przez osoby niepowołane,
  • kroki umożliwiające odtworzenie podatności – zrzuty ekranu, komendy, payloady, logi itp.,
  • przypisany identyfikator CWE, ułatwiający klasyfikację problemu w międzynarodowych rejestrach,
  • oraz odnośniki do źródeł zewnętrznych (np. OWASP, MITRE, CVE), które pozwalają na dalsze zgłębianie tematu lub weryfikację podatności.
• Zalecenia dotyczące skutecznej mitygacji ryzyk, dopasowane do kontekstu organizacji i środowiska testowego – w tym wskazówki dotyczące konfiguracji, aktualizacji komponentów, zmian w logice aplikacji, ograniczeń dostępu czy wdrożenia mechanizmów detekcji i monitorowania.]

Uwagi końcowe

VIPentest Sp. z o.o. zastrzega sobie prawo do modyfikacji planu testów w zależności od bieżących potrzeb i ustaleń z klientem.