Ir para o conteúdo principal
OWASP MASVS Android e iOS Reteste incluído

Pentest mobile profissional

Teste de penetração em aplicativos Android e iOS seguindo o OWASP Mobile Application Security Verification Standard (MASVS). Combinamos análise estática (código e binário), dinâmica (em execução) e de comunicação de rede para cobrir toda a superfície de ataque do aplicativo.

Solicitar pentest mobile Falar com especialista
Framework

OWASP MASVS como base

O OWASP Mobile Application Security Verification Standard (MASVS) é o padrão de referência para segurança de aplicativos mobile. Define dois níveis de verificação: MASVS-L1 (segurança básica, para todos os aplicativos) e MASVS-L2 (defesa em profundidade, para aplicativos que processam dados sensíveis como saúde ou finanças).

A First Security aplica o nível adequado conforme a criticidade do aplicativo. Aplicativos bancários e de saúde recebem cobertura MASVS-L2 completa. Aplicativos de e-commerce e uso geral recebem MASVS-L1 com itens selecionados do L2 conforme os dados tratados.

O que testamos

Cobertura técnica do pentest mobile

Armazenamento de dados

  • Dados sensíveis em SharedPreferences/UserDefaults
  • Banco de dados SQLite sem criptografia
  • Backups inseguros
  • Dados em logs do sistema

Autenticação e sessão

  • Autenticação biométrica bypassável
  • Tokens de sessão expostos
  • Controles de login insuficientes
  • Ausência de bloqueio após tentativas

Comunicação de rede

  • Certificate Pinning ausente ou fraco
  • Tráfego não criptografado
  • Validação de certificado insuficiente
  • APIs expostas via interceptação

Análise de código

  • Chaves de API hardcoded
  • Segredos no código-fonte
  • Dependências com vulnerabilidades
  • Ofuscação insuficiente

Componentes da plataforma

  • Activities/Fragments exportados indevidamente
  • Content Providers inseguros
  • Deeplinks sem validação
  • WebViews com JavaScript Bridge

Criptografia

  • Algoritmos fracos ou obsoletos
  • Chaves hardcoded
  • Geração de números aleatórios insegura
  • IV estático em AES
Como executamos

Abordagem de análise

Análise estática

Descompilação e engenharia reversa do APK/IPA para identificar segredos hardcoded, lógica insegura, uso de APIs deprecadas e dependências vulneráveis.

Análise dinâmica

Execução do aplicativo em dispositivo real ou emulador com hooking via Frida para bypass de controles, análise de comportamento em tempo de execução e manipulação de fluxos.

Análise de rede

Interceptação de tráfego via proxy (Burp Suite) para identificar chamadas de API inseguras, certificate pinning bypassável e dados sensíveis transmitidos sem proteção.

Solicite o pentest do seu aplicativo

Android, iOS ou ambas as plataformas. Diagnóstico gratuito e proposta em 24 horas.

Solicitar orçamento