iOS · Android OWASP Mobile Top 10

Mobile Security.
Every layer, every platform. Безопасность мобильных.
Каждый слой, каждая платформа.

Deep-dive security research on iOS and Android applications — static analysis, runtime instrumentation, API testing, and binary reverse engineering. 100% PoC for every finding. Глубокое исследование безопасности iOS и Android приложений — статический анализ, рантайм-инструментирование, тестирование API и реверс-инжиниринг бинарников. 100% PoC для каждой находки.

Submit your appОтправить приложение All ServicesВсе услуги

iOS & Android — platform-specific testing iOS и Android — тестирование под каждую платформу

iOS
iOS 15 – 18 · Objective-C · Swift
  • IPA binary disassembly (Ghidra, Hopper, IDA)Дизасемблирование IPA (Ghidra, Hopper, IDA)
  • Jailbreak detection bypass (Frida, Objection)Обход обнаружения джейлбрейка (Frida, Objection)
  • Keychain and NSUserDefaults secrets extractionИзвлечение секретов из Keychain и NSUserDefaults
  • SSL/TLS pinning bypass with traffic inspectionОбход SSL/TLS pinning с инспекцией трафика
  • URL scheme and deep-link abuseЭксплуатация URL-схем и deep-link
  • Pasteboard and screenshot data leakageУтечка данных через буфер обмена и скриншоты
Android
Android 10 – 14 · Java · Kotlin
  • APK decompilation (JADX, APKTool, Bytecode Viewer)Декомпиляция APK (JADX, APKTool, Bytecode Viewer)
  • Root detection bypass and emulator detectionОбход обнаружения root и эмулятора
  • SharedPreferences, SQLite, and file system secretsSharedPreferences, SQLite и файловая система
  • Android Backup abuse and content provider exposureЗлоупотребление Android Backup, content provider
  • Intent hijacking and exported activity abuseПерехват Intent и exported activity
  • Native code (JNI) and library analysisНативный код (JNI) и анализ библиотек

OWASP Mobile Top 10 — fully covered OWASP Mobile Top 10 — полное покрытие

Every finding is mapped to the OWASP Mobile Top 10 and assigned a CVSS score with PoC reproduction steps. Каждая находка сопоставлена с OWASP Mobile Top 10 и получает оценку CVSS с шагами воспроизведения PoC.

M1Improper Credential UsageНеправильное использование учётных данныхTestedТестируется
M2Inadequate Supply Chain SecurityБезопасность цепочки поставокTestedТестируется
M3Insecure Authentication / AuthorizationНебезопасная аутентификация / авторизацияTestedТестируется
M4Insufficient Input / Output ValidationНедостаточная валидация ввода / выводаTestedТестируется
M5Insecure CommunicationНебезопасная коммуникацияTestedТестируется
M6Inadequate Privacy ControlsНедостаточный контроль конфиденциальностиTestedТестируется
M7Insufficient Binary ProtectionsНедостаточная защита бинарниковTestedТестируется
M8Security MisconfigurationНеправильная конфигурация безопасностиTestedТестируется
M9Insecure Data StorageНебезопасное хранение данныхTestedТестируется
M10Insufficient CryptographyНедостаточная криптографияTestedТестируется

Our testing toolchainНаш инструментарий

Frida
Runtime hookRuntime-хук
Objection
Mobile explorationМобильный эксплорер
Burp Suite
HTTP proxyHTTP-прокси
JADX
APK decompileДекомпиляция APK
Ghidra
Binary REРеверс-инжиниринг
MobSF
Automated SASTАвтоматизированный SAST
apkleaks
Secret scanningПоиск секретов
Drozer
Android attack

Engagement processПроцесс взаимодействия

01

App submissionПередача приложения

Submit your APK/IPA with a test account. Signed NDA before we receive anything.Передайте APK/IPA с тестовым аккаунтом. NDA подписан до получения чего-либо.

02

Static analysisСтатический анализ

Binary reverse engineering, secret extraction, manifest analysis, and decompiled source code review.Реверс-инжиниринг бинарника, извлечение секретов, анализ манифеста и декомпилированного кода.

03

Dynamic testingДинамическое тестирование

Runtime instrumentation with Frida, traffic interception and API abuse on a jailbroken/rooted device.Рантайм-инструментирование с Frida, перехват трафика и API-атаки на разлоченном устройстве.

04

Report & PoCОтчёт и PoC

CVSS-scored findings with video PoC for every issue. Delivery within 7–14 days. Free retest after fixes.Находки с CVSS и видео-PoC для каждой проблемы. Передача за 7–14 дней. Ретест после фиксов бесплатно.

iOS+
Android
100%
PoC per findingPoC на каждую находку
7–14d
DeliveryСрок передачи
Free
Retest includedРетест включён

Ready to test your app?Готовы проверить своё приложение?

Send us your APK or IPA. We'll have a proposal back within 24 hours and testing started within a week. Отправьте APK или IPA. Предложение в течение 24 часов, тестирование начнётся в течение недели.

Submit your appОтправить приложение All servicesВсе услуги