Testy Bezpieczeństwa Aplikacji Mobilnych
Mobile apps przechowują wrażliwe dane i tokeny - to cel ataków. Hardcoded secrets, insecure storage, weak crypto, reverse engineering. Przetestujemy przed publikacją lub sprawdzimy produkcję. Chronisz dane użytkowników.
Czym są testy bezpieczeństwa aplikacji mobilnych?
Testy bezpieczeństwa aplikacji mobilnych to kompleksowa analiza bezpieczeństwa aplikacji iOS i Android według OWASP MASVS – obejmująca static analysis (dekompilacja, hardcoded secrets), dynamic testing (Frida hooking, SSL pinning bypass) oraz testy backend API (BOLA, broken auth, injection). nFlo przeprowadza testy bez kodu źródłowego w 7-12 dni roboczych, chroniąc przed karami RODO do 20 mln EUR za wyciek danych z aplikacji.
Aplikacja mobilna to frontend który użytkownik kontroluje - i może zmodyfikować
Kompleksowe testy mobilne + backend API
Static analysis
Reverse engineering, hardcoded secrets
Dynamic testing
Runtime manipulation, API fuzzing
Backend API
Testy security API i komunikacji
Czym są Testy bezpieczeństwa aplikacji mobilnych?
Testy bezpieczeństwa aplikacji mobilnych to kompleksowa analiza bezpieczeństwa aplikacji iOS i Android obejmująca testy statyczne (SAST), dynamiczne (DAST), reverse engineering, bezpieczeństwo API backend i ochronę danych na urządzeniu.
| Atrybut | Wartość |
|---|---|
| Platformy | iOS, Android |
| Metodologia | OWASP Mobile Top 10, MASVS |
| Techniki | SAST, DAST, reverse engineering |
| Czas realizacji | 7-12 dni roboczych |
| Cena | od 40 000 PLN (stan na 2026) |
Starbucks app - API token w local storage = free coffee dla atakującego
Aplikacja Starbucks przechowywała API token w plaintexcie na urządzeniu. Każdy kto miał dostęp do telefonu (fizyczny lub malware) mógł wyciągnąć token, replay requesty i ładować konto cudzą kartą kredytową. Miliony użytkowników narażonych.
Bez testów bezpieczeństwa mobile:
- Hardcoded API keys/secrets w kodzie (każdy może wyciągnąć)
- Insecure storage = dane w plaintexcie (SharedPreferences, UserDefaults)
- Weak crypto = łatwe do złamania szyfrowanie
- Certificate pinning bypass = man-in-the-middle na SSL
- Root/Jailbreak detection bypass = atakujący mają pełną kontrolę
- Backend API bez security = broken authorization via replay
- Brak obfuscation = łatwy reverse engineering
Testujemy tak jak atakujący - od decompile do exploit
Mobile app security to nie tylko kod - to też storage, komunikacja z API, runtime behavior. Testujemy wszystkie warstwy: static analysis (co jest w kodzie), dynamic testing (jak się zachowuje), API security (czy backend jest bezpieczny).
Co dostajesz:
- Dekompilację i reverse engineering aplikacji (APK/IPA)
- Analizę kodu - hardcoded secrets, weak crypto, insecure storage
- Test runtime behavior (Frida hooking, runtime manipulation)
- SSL pinning bypass i MitM na komunikację API
- Test insecure storage (SharedPreferences, Keychain, SQLite)
- Analiza kryptografii (weak algorithms, hardcoded keys)
- Root/jailbreak detection bypass
- Binary protection assessment (obfuscation, anti-tampering)
- Testy backend API (BOLA, broken auth, injection)
- Test deep links & URL schemes
- WebView security (XSS, JavaScript injection)
- Push notifications security
- Szczegółowy raport z PoC dla każdej luki
- Rekomendacje dla devs (iOS Swift/Obj-C, Android Kotlin/Java)
- Opcjonalny retest po wdrożeniu poprawek
Dla kogo?
Ta usługa jest dla Ciebie, jeśli:
- Rozwijasz aplikację mobilną (iOS/Android) i chcesz testów przed publishem
- Masz aplikację w store i chcesz sprawdzić czy jest bezpieczna
- Klienci korporacyjni wymagają security assessment
- Aplikacja obsługuje płatności, dane osobowe, dane medyczne
- Chcesz spełnić OWASP MASVS lub compliance (PSD2, fintech)
- Konkurencja miała incydent i chcesz sprawdzić swoje zabezpieczenia
OWASP MASVS - co testujemy
Mobile Application Security Verification Standard
MASVS-STORAGE: Secure Storage
- Sensitive data w plaintexcie
- Keychain/Keystore misconfiguration
- SQLite bez encryption
- Backup data leakage (iTunes/Android backup)
- App data accessible przez other apps
MASVS-CRYPTO: Cryptography
- Weak algorithms (DES, MD5, SHA1)
- Hardcoded encryption keys
- Predictable IV/salt
- Custom crypto (zawsze źle)
- Certificate validation issues
MASVS-AUTH: Authentication & Session Management
- Weak password policy
- Biometric bypass
- Session tokens w insecure storage
- No timeout/logout
- Hardcoded credentials
MASVS-NETWORK: Network Communication
- No SSL/TLS
- Certificate pinning missing/bypassable
- Cleartext traffic (HTTP)
- Vulnerable to MitM
- Weak TLS configuration
MASVS-PLATFORM: Platform Interaction
- Insecure WebView configuration (XSS)
- Deep link vulnerabilities
- Clipboard leakage (sensitive data)
- Screen caching (task switcher)
- Logs zawierające secrets
MASVS-CODE: Code Quality
- No obfuscation
- Debug symbols present
- No anti-tampering
- Insecure IPC (Intents, URL schemes)
- Third-party libraries z CVE
MASVS-RESILIENCE: Anti-Reverse Engineering
- Easy decompilation
- No root/jailbreak detection
- Debugging allowed
- No runtime integrity checks
- Hooking framework detection
Metodyka testów
Static Analysis
iOS (IPA):
- Dekompilacja (class-dump, Hopper, Ghidra)
- String analysis - hardcoded secrets, URLs, API keys
- Plist analysis - insecure configurations
- Binary analysis - obfuscation level, anti-debugging
- Third-party libraries audit (CocoaPods/Carthage)
Android (APK):
- Decompile (apktool, jadx, JEB)
- AndroidManifest.xml analysis - permissions, exported components
- String analysis - secrets, URLs, tokens
- ProGuard/R8 effectiveness
- Native code analysis (libx.so)
- Third-party libraries (Maven/Gradle dependencies with CVE)
Dynamic Testing
Setup:
- iOS: Jailbroken device, Frida, Objection, SSL Kill Switch
- Android: Rooted device, Frida, Xposed, Burp CA cert
Runtime Analysis:
- SSL pinning bypass
- MitM na komunikację API (Burp Suite)
- Method hooking (Frida) - bypass auth, modify return values
- Runtime secrets extraction
- File system access
- Memory dump analysis (pērsist sensitive data)
Storage Testing:
- iOS: Keychain dump, plist files, SQLite databases
- Android: SharedPreferences, SQLite, internal storage
- Backup extraction (iTunes/adb backup)
- Data wiping test (czy delete = delete)
API Testing:
- Wszystkie endpointy wywoływane przez app
- Authorization (czy mogę replay token?)
- BOLA/IDOR (zmiana user ID)
- Rate limiting
- Input validation
Typowe luki które znajdujemy
1. Hardcoded API secrets
iOS example:
let apiKey = "AIzaSyD4xX8vQ..." // hardcoded Google API keyAndroid example:
String API_SECRET = "sk_live_51HxY2..."; // Stripe secret keyImpact: Każdy kto dekompiluje app ma API access Fix: Secrets w backend, app dostaje session token
2. Insecure storage - tokens w plaintexcie
iOS: UserDefaults.standard.set(token, forKey: "auth_token")
Android: SharedPreferences.putString("auth_token", token)
Impact: Malware/physical access = token theft
Fix: iOS Keychain, Android EncryptedSharedPreferences
3. SSL pinning bypassable
Problem: App ma certificate pinning ale można go wyłączyć przez Frida Impact: MitM na komunikację API, credential theft Fix: Proper pinning implementation + anti-tampering
4. Broken backend authorization
Scenario: App wysyła GET /api/user/123/profile
Test: Zmiana 123 -> 124 w Burp
Luka: Backend nie sprawdza czy current user może zobaczyć user 124
Impact: BOLA - dostęp do cudzych danych
5. Weak encryption
Przykład: AES z hardcoded key "mySecretKey12345"
Problem: Każdy kto reverse engineer app ma klucz
Fix: Key derivation (PBKDF2) z user password lub secure enclave/keystore
6. Deep link vulnerabilities
iOS: myapp://reset-password?token=...
Android: intent://...
Luka: Brak walidacji parametrów
Exploit: Malicious app wywołuje deep link z crafted params
Fix: Whitelist allowed parameters, validate w app
7. Debug/logs leakage
Log.d("API", "Auth token: " + token); // logcat visibleImpact: Sensitive data w logach accessible dla other apps Fix: Remove logging w production builds
Narzędzia których używamy
Static Analysis:
- MobSF (Mobile Security Framework) - automated scanning
- jadx, apktool (Android decompile)
- class-dump, Hopper (iOS decompile)
- Ghidra (binary analysis)
Dynamic Testing:
- Frida (runtime instrumentation & hooking)
- Objection (Frida automation)
- Burp Suite (MitM proxy)
- SSL Kill Switch (iOS pinning bypass)
- Xposed Framework (Android hooking)
Forensics:
- idevicebackup, iTunes (iOS backup extraction)
- adb backup (Android backup)
- Sqlitebrowser (database analysis)
Automation:
- Appium (automated UI testing for security)
- Drozer (Android security assessment framework)
Deliverables
Co dostajesz w raporcie
Executive Summary:
- Risk rating (High/Medium/Low severity)
- Top 5 critical findings
- OWASP MASVS compliance score
Technical Details (dla każdej luki):
- Opis podatności
- OWASP MASVS category
- CWE/CVE (jeśli applicable)
- Proof of Concept (screenshots, kod)
- Impact analysis
- Remediation steps (konkretnie dla iOS/Android)
Appendix:
- Full list of findings
- Tested endpoints list
- Hardcoded secrets found (redacted w raporcie)
- OWASP MASVS checklist
Powiązane pojęcia
Dowiedz się więcej o kluczowych pojęciach związanych z tą usługą:
Skontaktuj się z opiekunem
Porozmawiaj o Testy Bezpieczeństwa Aplikacji Mobilnych z dedykowanym opiekunem handlowym.
Jak pracujemy
Sprawdzony proces realizacji usługi.
Static analysis
Dekompilacja, analiza kodu i secrets
Dynamic testing
Runtime manipulation, hooking, SSL pinning
Storage & crypto
Insecure storage, weak encryption
API testing
Backend API security i authorization
Raport
PoC dla luk + kroki naprawy
Korzyści dla Twojej firmy
Co zyskujesz wybierając tę usługę.
Chronisz użytkowników
Znajdź luki przed publikacją w store
Unikasz kar RODO
Wyciek danych z aplikacji = do 20M EUR
Reputacja w store
Skandal bezpieczeństwa = złe review i spadek instalacji
Wymagania klientów
Korporacje wymagają security testów przed adoptacją
Powiązane artykuły
Pogłęb swoją wiedzę z naszej bazy wiedzy.
PTaaS vs klasyczny pentest — co wybrać w 2026 i kiedy abonament się opłaca
Testy penetracyjne wychodzą z modelu raz w roku. PTaaS oferuje ciągłą weryfikację z platformą i wbudowanym retestem, klasyczny pentest to wciąż solidny projekt z raportem. Porównujemy oba podejścia i pokazujemy, kiedy abonament realnie się opłaca.
Czytaj więcej →CVE-2025-48595: Wysoka podatność w Framework (Android)
Android Framework zawiera podatność typu integer overflow, która umożliwia wykonanie kodu mogące prowadzić do lokalnej eskalacji uprawnień....
Czytaj więcej →Testy penetracyjne aplikacji LLM — metodyka i narzędzia (2026)
Pentest aplikacji LLM to nie jest klasyczny pentest webowy. Metodyka 6-fazowa oparta na OWASP LLM Top 10, MITRE ATLAS i NIST AI RMF — z konkretnymi narzędziami (Garak, PyRIT, promptfoo) i mapowaniem na EU AI Act.
Czytaj więcej →Najczęściej zadawane pytania
Odpowiedzi na pytania dotyczące Testy Bezpieczeństwa Aplikacji Mobilnych.
Czy testujecie obie platformy (iOS i Android) jednocześnie?
Tak, standardowo testujemy obie platformy w ramach jednego projektu. Każda platforma ma specyficzne wektory ataku — iOS (Keychain, plist) i Android (SharedPreferences, exported components) — więc testujemy je osobno.
Czy potrzebujecie kodu źródłowego aplikacji?
Nie, testujemy na plikach APK/IPA, wykonując dekompilację i reverse engineering — dokładnie tak jak zrobiłby to atakujący. Kod źródłowy nie jest wymagany, ale pozwala na dokładniejszą analizę logiki biznesowej.
Ile trwają testy i czy obejmują też backend API?
Testy trwają 7-12 dni roboczych i obejmują zarówno aplikację mobilną (static + dynamic analysis), jak i backend API (autoryzacja, BOLA/IDOR, injection). Testujemy wszystkie endpointy wywoływane przez aplikację.
Czy oferujecie retest po wdrożeniu poprawek przez nasz zespół?
Tak, opcjonalny retest weryfikuje skuteczność wdrożonych poprawek. Sprawdzamy czy podatności zostały naprawione prawidłowo i czy poprawki nie wprowadziły nowych problemów bezpieczeństwa.