Получить консультацию
Оставьте ваши данные и мы с вами свяжемся!
Оставляя заявку на сайте, вы соглашаетесь на обработку персональных данных в соответствии с политикой конфиденциальности. Не является публичной офертой.
Пентест мобильных приложений
Комплексная оценка безопасности приложений для iOS и Android, включающая анализ клиентской части, серверного API и каналов передачи данных.
- Находим уязвимости и подтверждаем их эксплуатацией в контролируемых условиях
- Фиксируем доказательства и объясняем влияние уязвимостей на бизнес
- Проводим ретест по договорённости
Получить консультацию
Оставьте ваши данные, и мы с вами свяжемся!
Оставляя заявку на сайте, вы соглашаетесь на обработку персональных данных в соответствии с политикой конфиденциальности. Не является публичной офертой.
Запросить оценку объема и сроков
Оставьте ваши данные, и мы с вами свяжемся!
Оставляя заявку на сайте, вы соглашаетесь на обработку персональных данных в соответствии с политикой конфиденциальности. Не является публичной офертой.
Сертифицированные сотрудники
со стажем более 8 лет
со стажем более 8 лет
Опыт работы в различных отраслях
крупных компаний
крупных компаний
Наши специалисты
входят в топ-10 пентестеров России
входят в топ-10 пентестеров России
Что такое пентест мобильных приложений и когда он нужен
Пентест мобильных приложений (Mobile App Pentest) — это комплексная проверка безопасности клиентской части (iOS и Android), серверного API и каналов передачи данных. Мы имитируем действия злоумышленника, который пытается похитить персональные данные, взломать аккаунты или вмешаться в финансовые транзакции. Анализ проводится по международному стандарту OWASP Mobile Top 10, что гарантирует проверку всех критических зон: от локального хранилища на телефоне до серверной бизнес-логики.
Кому необходим пентест мобильных приложений
- Финтех-сервисам и банкамдля защиты транзакций, электронных кошельков и данных клиентов
- E-commerce и ритейлуинтернет-магазинам, хранящим данные банковских карт и историю заказов в личных кабинетах
- Медицинским сервисамприложениям для записи к врачам и телемедицины, работающим с конфиденциальными данными о здоровье
- Корпоративным мессенджерам и таск-трекерамкомпаниям, чьи сотрудники обмениваются через мобильное ПО коммерческой тайной и внутренними документами
- Разработчикам мобильных игрдля защиты внутриигровой валюты от взлома и предотвращения использования читов, нарушающих экономику игры
- Сервисам с платной подпискойчтобы исключить возможность обхода систем авторизации и бесплатного доступа к премиум-контенту
Комплекс работ по пентесту мобильных приложений
Анализ способа хранения конфиденциальной информации на устройстве
Мы имитируем сценарий, при котором злоумышленник получает физический доступ к устройству или использует вредоносное ПО для кражи файлов приложения. Что мы проверяем в ходе аудита:
- Анализ файловой системы: Поиск забытых паролей, токенов сессий и персональных данных в системных папках, логах (logcat/syslog) и временных файлах (cache).
- Проверка баз данных (SQLite): Изучение локальных баз данных на предмет отсутствия шифрования. Мы проверяем, можно ли прочитать историю операций или личную переписку обычным просмотрщиком файлов.
- Безопасность хранилищ (Keychain/Keystore): Проверка корректности использования системных хранилищь iOS и Android. Мы проверяем, защищены ли ключи шифрования, токены и биометрические данные от доступа со стороны других приложений или при утере устройства.
- Защита от root/jailbreak: проверяем, прекращает ли приложение работу или очищает ли данные, если обнаружена взломанная прошивка.
- Конфиденциальность в Shared Preferences/Plist: Аудит XML-файлов настроек, где разработчики часто оставляют критическую информацию в открытом виде.
- Снимки экрана и буфер обмена: Проверка, не утекают ли данные через системные скриншоты в диспетчере задач или через копирование конфиденциальной информации в буфер обмена.
Анализ механизма взаимодействия с серверной частью
Мы проверяем безопасность канала передачи данных между мобильным устройством и сервером. Злоумышленник в общественной сети (Wi-Fi) может попытаться перехватить или подменить трафик. Что мы проверяем:
- SSL/TLS конфигурация: оценка корректности настроек шифрования и стойкости используемых протоколов.
- SSL Pinning: проверка наличия и правильности реализации механизма привязки сертификата, чтобы исключить возможность подмены сервера при атаке MitM.
- Безопасность API: Анализ защищенности серверных методов, которые вызываются из приложения, от несанкционированного доступа и утечек данных.
- Динамический анализ: Вмешательство в работу приложения для выполнения произвольного кода и обхода защит (root/jailbreak).
Проверка наличия защиты от обратной разработки (Reverse Engineering)
Мы моделируем действия злоумышленника, который скачал установочный файл вашего приложения (.apk или .ipa) и пытается изучить его внутреннее устройство. Что мы проверяем:
- Анализ возможности восстановить исходный или читаемый код приложения стандартными инструментами.
- Проверка, не оставили ли разработчики пароли, API-ключи или токены доступа в теле приложения в открытом или обфусцированном, но легко восстанавливаемом виде.
- Оценка механизмов, предотвращающих подмену кода или ресурсов приложения.
Ручная проверка по методологии OWASP Mobile Top 10
Основная часть пентеста - глубокая ручная проверка, базирующаяся на актуальном стандарте безопасности мобильных приложений OWASP Mobile Top 10. Наши эксперты моделируют атаки, направленные на:
- Аутентификацию и авторизацию: можно ли войти в чужой аккаунт или выполнить действия от имени администратора?
- Небезопасную передачу данных: утекает ли информация в открытом виде?
- Хранение данных: надежно ли защищены пароли и персональные данные на устройстве?
- Криптографию: используются ли стойкие алгоритмы и правильно ли они реализованы?
- Сторонние компоненты: есть ли уязвимости в используемых библиотеках и SDK?
Проверка бизнес-логики и критических операций
Для приложений, обрабатывающих платежи или персональные данные, мы проводим углубленный анализ бизнес-логики:
- Компрометация платежей: можно ли изменить сумму платежа, получателя или выполнить операцию без подтверждения?
- Обход подтверждений: возможно ли совершить действие без ввода OTP/Push-кода?
- Повторное воспроизведение: можно ли отправить перехваченный запрос повторно, чтобы дважды списать деньги?
- Массовые операции: есть ли возможность выполнить ограниченное действие (например, бонус) множество раз?
- Хищение средств: можно ли вывести деньги или бонусы другого пользователя?
Анализ способа хранения конфиденциальной информации на устройстве
Для приложений, обрабатывающих платежи или персональные данные, мы проводим углубленный анализ бизнес-логики:
- Компрометация платежей: можно ли изменить сумму платежа, получателя или выполнить операцию без подтверждения?
- Обход подтверждений: возможно ли совершить действие без ввода OTP/Push-кода?
- Повторное воспроизведение: можно ли отправить перехваченный запрос повторно, чтобы дважды списать деньги?
- Массовые операции: есть ли возможность выполнить ограниченное действие (например, бонус) множество раз?
- Хищение средств: можно ли вывести деньги или бонусы другого пользователя?
Поиск раскрытия внутренней информации
Мы проверяем, отдает ли приложение наружу технические детали, которые помогут хакеру подготовить атаку:
- Отладочная информация в логах
- Внутренние пути к серверным каталогам и структура БД.
- Версии используемых библиотек и фреймворков с известными уязвимостями.
Подготовка отчета по результатам тестирования
Continuous Penetration Testing
Пентест внешнего периметра
Пентест внутреннего периметра
Пентест сайта и веб-приложений
Пентест мобильных приложений
Анализ исходного кода
Пентест сетей Wi-Fi
Социотехнический пентест
Узнайте реальную степень защищенности своего периметра — закажите пентест мобильного приложения
Нажимая на кнопку, вы даете согласие на обработку персональных данных и соглашаетесь c политикой конфиденциальности. Не является публичной офертой.
Специалисты Infosecurity входят в топ-10 пентестеров России
Команда сертифицированных пентестеров с экспертизой в разных отраслях.
Для оценки защищенности
специалисты Infosecurity также рекомендуют
FAQ
Пентест мобильных приложений — это детальный аудит безопасности программ для iOS и Android. В ходе проверки эксперты имитируют действия злоумышленников, пытаясь взломать приложение, перехватить данные пользователей или получить несанкционированный доступ к серверной части (API).
Мобильные устройства часто являются самым слабым звеном в защите данных, так как работают в неконтролируемой среде. Пентест необходим, чтобы:
- Защитить данные пользователей: предотвратить кражу личной информации, переписки и платежных данных из памяти смартфона или при передаче на сервер.
- Исключить обход платных функций: найти уязвимости, которые позволяют злоумышленникам бесплатно получать доступ к подпискам или премиум-контенту.
- Обеспечить безопасность API: проверить серверную часть, с которой взаимодействует приложение, на наличие «дыр», открывающих доступ к общей базе клиентов.
- Предотвратить реверс-инжиниринг: убедиться, что хакеры не смогут декомпилировать ваше приложение, украсть интеллектуальную собственность или создать вредоносный клон.
- Пройти модерацию в App Store и Google Play: устранить критические ошибки безопасности, которые могут стать причиной блокировки приложения в сторах.
Стоимость пентеста мобильного приложения рассчитывается на основе трудозатрат экспертов, которые зависят от архитектуры и функционала программы.
Основные факторы, влияющие на цену:
Основные факторы, влияющие на цену:
- Количество платформ: проверка сразу двух версий (iOS и Android) увеличивает объем работ, так как у каждой ОС свои механизмы защиты и уязвимости.
- Сложность серверной части (API): количество запросов и методов взаимодействия приложения с сервером — чем их больше, тем шире поверхность атаки.
- Функционал и роли: наличие финансовых транзакций, чатов, систем лояльности и разных типов профилей (клиент, курьер, администратор) усложняет аудит.
- Метод тестирования: Black Box (внешний взлом без исходного кода), White Box (анализ с доступом к исходному коду) — более дорогой, но максимально глубокий вариант.
- Обход защитных механизмов: наличие встроенной защиты (Root/Jailbreak detection, обфускация кода, SSL Pinning) требует от пентестеров дополнительных усилий для их обхода.