Testy Bezpieczeństwa Aplikacji Mobilnych

Czym są Testy bezpieczeństwa aplikacji mobilnych?

Testy bezpieczeństwa aplikacji mobilnych to kompleksowa analiza bezpieczeństwa aplikacji iOS i Android obejmująca testy statyczne (SAST), dynamiczne (DAST), reverse engineering, bezpieczeństwo API backend i ochronę danych na urządzeniu.

Atrybut	Wartość
Platformy	iOS, Android
Metodologia	OWASP Mobile Top 10, MASVS
Techniki	SAST, DAST, reverse engineering
Czas realizacji	7-12 dni roboczych
Cena	od 40 000 PLN (stan na 2026)

nFlo oferuje testy bezpieczeństwa aplikacji mobilnych dla firm w Polsce, zapewniając profesjonalne wsparcie i zgodność z najlepszymi praktykami branżowymi.

Starbucks app - API token w local storage = free coffee dla atakującego

Aplikacja Starbucks przechowywała API token w plaintexcie na urządzeniu. Każdy kto miał dostęp do telefonu (fizyczny lub malware) mógł wyciągnąć token, replay requesty i ładować konto cudzą kartą kredytową. Miliony użytkowników narażonych.

Bez testów bezpieczeństwa mobile:

• Hardcoded API keys/secrets w kodzie (każdy może wyciągnąć)
• Insecure storage = dane w plaintexcie (SharedPreferences, UserDefaults)
• Weak crypto = łatwe do złamania szyfrowanie
• Certificate pinning bypass = man-in-the-middle na SSL
• Root/Jailbreak detection bypass = atakujący mają pełną kontrolę
• Backend API bez security = broken authorization via replay
• Brak obfuscation = łatwy reverse engineering

Testujemy tak jak atakujący - od decompile do exploit

Mobile app security to nie tylko kod - to też storage, komunikacja z API, runtime behavior. Testujemy wszystkie warstwy: static analysis (co jest w kodzie), dynamic testing (jak się zachowuje), API security (czy backend jest bezpieczny).

Co dostajesz:

• Dekompilację i reverse engineering aplikacji (APK/IPA)
• Analizę kodu - hardcoded secrets, weak crypto, insecure storage
• Test runtime behavior (Frida hooking, runtime manipulation)
• SSL pinning bypass i MitM na komunikację API
• Test insecure storage (SharedPreferences, Keychain, SQLite)
• Analiza kryptografii (weak algorithms, hardcoded keys)
• Root/jailbreak detection bypass
• Binary protection assessment (obfuscation, anti-tampering)
• Testy backend API (BOLA, broken auth, injection)
• Test deep links & URL schemes
• WebView security (XSS, JavaScript injection)
• Push notifications security
• Szczegółowy raport z PoC dla każdej luki
• Rekomendacje dla devs (iOS Swift/Obj-C, Android Kotlin/Java)
• Opcjonalny retest po wdrożeniu poprawek

Dla kogo?

Ta usługa jest dla Ciebie, jeśli:

• Rozwijasz aplikację mobilną (iOS/Android) i chcesz testów przed publishem
• Masz aplikację w store i chcesz sprawdzić czy jest bezpieczna
• Klienci korporacyjni wymagają security assessment
• Aplikacja obsługuje płatności, dane osobowe, dane medyczne
• Chcesz spełnić OWASP MASVS lub compliance (PSD2, fintech)
• Konkurencja miała incydent i chcesz sprawdzić swoje zabezpieczenia

OWASP MASVS - co testujemy

Mobile Application Security Verification Standard

MASVS-STORAGE: Secure Storage

• Sensitive data w plaintexcie
• Keychain/Keystore misconfiguration
• SQLite bez encryption
• Backup data leakage (iTunes/Android backup)
• App data accessible przez other apps

MASVS-CRYPTO: Cryptography

• Weak algorithms (DES, MD5, SHA1)
• Hardcoded encryption keys
• Predictable IV/salt
• Custom crypto (zawsze źle)
• Certificate validation issues

MASVS-AUTH: Authentication & Session Management

• Weak password policy
• Biometric bypass
• Session tokens w insecure storage
• No timeout/logout
• Hardcoded credentials

MASVS-NETWORK: Network Communication

• No SSL/TLS
• Certificate pinning missing/bypassable
• Cleartext traffic (HTTP)
• Vulnerable to MitM
• Weak TLS configuration

MASVS-PLATFORM: Platform Interaction

• Insecure WebView configuration (XSS)
• Deep link vulnerabilities
• Clipboard leakage (sensitive data)
• Screen caching (task switcher)
• Logs zawierające secrets

MASVS-CODE: Code Quality

• No obfuscation
• Debug symbols present
• No anti-tampering
• Insecure IPC (Intents, URL schemes)
• Third-party libraries z CVE

MASVS-RESILIENCE: Anti-Reverse Engineering

• Easy decompilation
• No root/jailbreak detection
• Debugging allowed
• No runtime integrity checks
• Hooking framework detection

Metodyka testów

Static Analysis

iOS (IPA):

• Dekompilacja (class-dump, Hopper, Ghidra)
• String analysis - hardcoded secrets, URLs, API keys
• Plist analysis - insecure configurations
• Binary analysis - obfuscation level, anti-debugging
• Third-party libraries audit (CocoaPods/Carthage)

Android (APK):

• Decompile (apktool, jadx, JEB)
• AndroidManifest.xml analysis - permissions, exported components
• String analysis - secrets, URLs, tokens
• ProGuard/R8 effectiveness
• Native code analysis (libx.so)
• Third-party libraries (Maven/Gradle dependencies with CVE)

Dynamic Testing

Setup:

• iOS: Jailbroken device, Frida, Objection, SSL Kill Switch
• Android: Rooted device, Frida, Xposed, Burp CA cert

Runtime Analysis:

• SSL pinning bypass
• MitM na komunikację API (Burp Suite)
• Method hooking (Frida) - bypass auth, modify return values
• Runtime secrets extraction
• File system access
• Memory dump analysis (pērsist sensitive data)

Storage Testing:

• iOS: Keychain dump, plist files, SQLite databases
• Android: SharedPreferences, SQLite, internal storage
• Backup extraction (iTunes/adb backup)
• Data wiping test (czy delete = delete)

API Testing:

• Wszystkie endpointy wywoływane przez app
• Authorization (czy mogę replay token?)
• BOLA/IDOR (zmiana user ID)
• Rate limiting
• Input validation

Typowe luki które znajdujemy

1. Hardcoded API secrets

iOS example:

let apiKey = "AIzaSyD4xX8vQ..." // hardcoded Google API key

Android example:

String API_SECRET = "sk_live_51HxY2..."; // Stripe secret key

Impact: Każdy kto dekompiluje app ma API access Fix: Secrets w backend, app dostaje session token

2. Insecure storage - tokens w plaintexcie

iOS: UserDefaults.standard.set(token, forKey: "auth_token") Android: SharedPreferences.putString("auth_token", token) Impact: Malware/physical access = token theft Fix: iOS Keychain, Android EncryptedSharedPreferences

3. SSL pinning bypassable

Problem: App ma certificate pinning ale można go wyłączyć przez Frida Impact: MitM na komunikację API, credential theft Fix: Proper pinning implementation + anti-tampering

4. Broken backend authorization

Scenario: App wysyła GET /api/user/123/profile Test: Zmiana 123 -> 124 w Burp Luka: Backend nie sprawdza czy current user może zobaczyć user 124 Impact: BOLA - dostęp do cudzych danych

5. Weak encryption

Przykład: AES z hardcoded key "mySecretKey12345" Problem: Każdy kto reverse engineer app ma klucz Fix: Key derivation (PBKDF2) z user password lub secure enclave/keystore

6. Deep link vulnerabilities

iOS: myapp://reset-password?token=... Android: intent://... Luka: Brak walidacji parametrów Exploit: Malicious app wywołuje deep link z crafted params Fix: Whitelist allowed parameters, validate w app

7. Debug/logs leakage

Log.d("API", "Auth token: " + token); // logcat visible

Impact: Sensitive data w logach accessible dla other apps Fix: Remove logging w production builds

Narzędzia których używamy

Static Analysis:

• MobSF (Mobile Security Framework) - automated scanning
• jadx, apktool (Android decompile)
• class-dump, Hopper (iOS decompile)
• Ghidra (binary analysis)

Dynamic Testing:

• Frida (runtime instrumentation & hooking)
• Objection (Frida automation)
• Burp Suite (MitM proxy)
• SSL Kill Switch (iOS pinning bypass)
• Xposed Framework (Android hooking)

Forensics:

• idevicebackup, iTunes (iOS backup extraction)
• adb backup (Android backup)
• Sqlitebrowser (database analysis)

Automation:

• Appium (automated UI testing for security)
• Drozer (Android security assessment framework)

Deliverables

Co dostajesz w raporcie

Executive Summary:

• Risk rating (High/Medium/Low severity)
• Top 5 critical findings
• OWASP MASVS compliance score

Technical Details (dla każdej luki):

• Opis podatności
• OWASP MASVS category
• CWE/CVE (jeśli applicable)
• Proof of Concept (screenshots, kod)
• Impact analysis
• Remediation steps (konkretnie dla iOS/Android)

Appendix:

• Full list of findings
• Tested endpoints list
• Hardcoded secrets found (redacted w raporcie)
• OWASP MASVS checklist