Проведение аудита безопасности мобильного приложения

TRUETECH занимается разработкой, поддержкой и обслуживанием мобильных приложений iOS, Android, PWA. Имеем большой опыт и экспертизу для публикации мобильных приложений в популярные маркеты Google Play, App Store, Amazon, AppGallery и другие.
8+Лет на рынке900+Реализованных проектов100+Разработчиков в штате19+Партнеров
Разработка и поддержка любых видов мобильных приложений:
Информационные и развлекательные мобильные приложения
Новостные приложения, игры, справочники, онлайн-каталоги, погодные, фитнес и здоровье, туристические, образовательные, социальные сети и мессенджеры, квиз, блоги и подкасты, форумы, агрегаторы
Мобильные приложения электронной коммерции
Интернет-магазины, B2B-приложения, маркетплейсы, онлайн-обменники, кэшбэк-сервисы, биржи, дропшиппинг-платформы, программы лояльности, доставка еды и товаров, платежные системы
Мобильные приложения для управления бизнес-процессами
CRM-системы, ERP-системы, управление проектами, инструменты для команды продаж, учет финансов, управление производством, логистика и доставка, управление персоналом, системы мониторинга данных
Мобильные приложения электронных услуг
Доски объявлений, онлайн-школы, онлайн-кинотеатры, платформы предоставления электронных услуг, платформы кешбека, видеохостинги, тематические порталы, платформы онлайн-бронирования и записи, платформы онлайн-торговли

Это лишь некоторые из типы мобильных приложений, с которыми мы работаем, и каждый из них может иметь свои специфические особенности и функциональность, а также быть адаптированным под конкретные потребности и цели клиента.

Предлагаемые услуги
Показано 1 из 1 услугВсе 1735 услуг
Проведение аудита безопасности мобильного приложения
Сложная
от 1 недели до 3 месяцев
Часто задаваемые вопросы
Наши компетенции:
Этапы разработки
Последние работы
  • image_mobile-applications_feedme_467_0.webp
    Разработка мобильного приложения для компании FEEDME
    756
  • image_mobile-applications_xoomer_471_0.webp
    Разработка мобильного приложения для компании XOOMER
    624
  • image_mobile-applications_rhl_428_0.webp
    Разработка мобильного приложения для компании RHL
    1052
  • image_mobile-applications_zippy_411_0.webp
    Разработка мобильного приложения для компании ZIPPY
    947
  • image_mobile-applications_affhome_429_0.webp
    Разработка мобильного приложения для компании Affhome
    862
  • image_mobile-applications_flavors_409_0.webp
    Разработка мобильного приложения для компании FLAVORS
    445
Показать больше работ

Проведение аудита безопасности мобильного приложения

Аудит начинается не с запуска инструментов, а с понимания, что именно защищаем. Финтех-приложение с биометрической авторизацией и медицинский трекер, который пишет в HealthKit, — разные модели угроз, разные приоритеты проверки, разный объём работы.

Стандартная точка отсчёта — OWASP Mobile Top 10. Но это не чеклист для галочки, а структура для покрытия основных классов уязвимостей.

Статический анализ (SAST)

Первый этап — анализ без запуска приложения. Декомпиляция APK через apktool + jadx даёт читаемый Java/Kotlin код. Для iOS — IDA Pro или Ghidra для бинарника, class-dump для Objective-C заголовков, strings для поиска захардкоженных секретов.

Что ищем статически:

  • Hardcoded credentials: API-ключи, токены, пароли в строках. grep -r "api_key\|secret\|password" --include="*.java" находит очевидное, но jadx показывает деобфусцированный код, где это зашито в константы классов
  • Небезопасное хранение: использование SharedPreferences или UserDefaults для чувствительных данных, SQLite без шифрования
  • Неправильные флаги компонентов Android: exported="true" у Activity/Service/BroadcastReceiver без proper intent-filter validation открывает атаку на глубокие ссылки и inter-process communication
  • Слабая криптография: DES, MD5 для паролей, ECB mode, нулевой IV, предсказуемый seed для Random

На Flutter приложениях SAST сложнее — Dart компилируется в нативный код через dart compile. Используем reFlutter для патчинга движка и дампа snapshot'ов, потом dumpapp для восстановления символов.

Динамический анализ (DAST)

Запускаем приложение на рутованном Android (Magisk + LSposed) или jailbroken iOS (Checkra1n/Unc0ver) и смотрим поведение в runtime.

Сетевой трафик. Burp Suite как прокси, сертификат добавляется в системное хранилище. Если приложение использует Certificate Pinning — обходим через Frida скрипт, хукая TrustManager или SSLPinningMode. После расшифровки трафика смотрим: передаются ли чувствительные данные в query-параметрах (логируются серверами), есть ли аутентификация на всех эндпоинтах API, корректные ли заголовки (Strict-Transport-Security, X-Content-Type-Options).

Файловая система. objection — фреймворк на базе Frida — позволяет в реальном времени смотреть файлы, созданные приложением: env print показывает все директории, file cat читает содержимое. Ищем незашифрованные базы данных, логи с персональными данными, кэшированные ответы API.

Память. fridump дампит heap приложения. В памяти часто живут дольше, чем нужно: credentials после logout, decrypted payloads, приватные ключи. Ищем паттерны через strings по дампу.

Reverse engineering и runtime tampering. Проверяем, работают ли защиты: jailbreak/root detection, anti-debugging, certificate pinning. Если всё обходится за 10 минут стандартными Frida-скриптами — уровень защиты минимальный.

Типичные находки по категориям

Чаще всего встречаем: захардкоженные ключи Firebase или AWS в strings.xml или GoogleService-Info.plist, отсутствие Certificate Pinning в финтех-приложениях, логирование запросов API с токенами через Log.d (остаётся в продакшне), небезопасные deep link обработчики без валидации источника, отсутствие экрана конфиденциальности при переходе приложения в фон (FLAG_SECURE / UIScreen.main.brightness).

Реже, но критичнее: SQL-инъекции через параметры deep link, небезопасная десериализация в broadcast receivers, возможность обхода биометрии через патчинг результата BiometricPrompt.

Отчётность и классификация

Каждая находка получает CVSS-оценку и описание вектора атаки — не просто «найдена уязвимость», а «злоумышленник с физическим доступом к устройству может за 15 минут извлечь токен авторизации из незашифрованной базы данных и использовать его для доступа к API». К каждому пункту — конкретная рекомендация по исправлению с примером кода.

Финальный отчёт делим на две части: технический (для разработчиков, с кодом, скриншотами, Frida-скриптами) и исполнительский (для менеджеров, с приоритетами и бизнес-рисками).

Процесс и сроки

Минимальный аудит небольшого приложения (до 50 экранов, без сложной бизнес-логики) — 1–2 недели. Комплексный аудит корпоративного приложения с серверной частью, несколькими платформами и требованиями соответствия (PCI DSS, HIPAA) — до 2–3 месяцев. Стоимость рассчитывается после первичного анализа: нужно понять объём функциональности, платформы (iOS, Android, оба), наличие серверной части в скоупе.

По итогам аудита предлагаем ретест — проверку, что найденные уязвимости действительно закрыты, а не только помечены как исправленные.