Co potřebujeme připravit před zahájením penetračního testu mobilní aplikace?

Stačí poskytnout APK nebo IPA soubor testované verze, testovací účty s různými úrovněmi oprávnění, popis hlavních funkčních oblastí aplikace a kontakt na vývojový tým. Přístup k API prostředí zajistíme společně při scoping callu.

Testujete mobilní aplikace s SSL pinningem nebo obfuskovaným kódem?

Ano. SSL pinning bypass a reverzní inženýrství obfuskovaného kódu jsou standardní součástí testování. Používáme rootovaná a jailbreaknutá zařízení s nástroji Frida a Objection, které tyto ochrany obcházejí stejně jako reálný útočník.

Je penetrační test mobilní aplikace povinný pro NIS2 nebo DORA?

Pokud mobilní aplikace zpracovává citlivá data nebo je součástí kritické infrastruktury, testování je vyžadováno v rámci NIS2, DORA (TLPT pro finanční instituce), ISO 27001 a PCI DSS (povinné pro aplikace zpracovávající platební data).

Co obsahuje výstupní zpráva z penetračního testu mobilní aplikace?

Report obsahuje executive summary pro management i technickou část pro vývojáře: přehled zranitelností s CVSS skóre, detailní popis nálezů s kroky k reprodukci, mapování na OWASP Mobile Top 10 a CWE, doporučení k nápravě a retestování opravených zranitelností v ceně.

Pentest mobilní app

Penetrační testy mobilních aplikací

Manuální testování iOS i Android aplikací podle metodiky OWASP MSTG. Odhalujeme zranitelnosti v autentizaci, lokálním úložišti, komunikaci a business logice – přesně tak, jak by postupoval reálný útočník.

Domluvit konzultaci Naše projekty v roce 2025

8.25 avg

Počet zranitelností na mobilní aplikaci

30+

Mobilních aplikací otestováno v roce 2025

5–8 dní

Průměrná délka testu mobilní aplikace

5.8 CVSS

Průměrné skóre nalezených zranitelností

OWASP MSTG iOS Android MobSF Frida

NDA od prvního kontaktu

Nabídka do 24 hodin

eMAPT, OSCP, CEH certified

NIS2 · ISO 27001 · DORA

Metodika

Jak testujeme mobilní aplikace

Nepracujeme se simulovaným prostředím — testujeme na rootovaných a jailbreaknutých zařízeních, zachytáváme veškerou síťovou komunikaci přes Burp Suite proxy a analyzujeme co se děje přímo v zařízení. Stejně jako by postupoval reálný útočník.

Rootovaná & jailbreaknutá zařízení

Testujeme na skutečných zařízeních s plným přístupem k systému. Obcházíme ochrany, které spoléhají na integritu OS — přesně jak útočník s fyzickým přístupem k telefonu.

Android root · iOS jailbreak · Frida

Proxy & zachytávání komunikace

Veškerý síťový provoz aplikace přesměrováváme přes Burp Suite. Testujeme SSL pinning, validaci certifikátů, MITM scénáře a bezpečnost API komunikace v reálném čase.

Burp Suite · MITM · SSL pinning bypass

Analýza lokálního úložiště

Kontrolujeme co aplikace ukládá v zařízení — SQLite databáze, SharedPreferences, Keychain, logy, dočasné soubory. Citlivá data v zařízení jsou samostatný vektor útoku.

SQLite · SharedPreferences · Keychain · logy

Statická & dynamická analýza

Kombinujeme dekompilaci a reverzní inženýrství (statická analýza) s testováním za běhu aplikace (dynamická analýza). Obě metody odhalují různé typy zranitelností — používáme obě vždy.

MobSF · Jadx · Objection · Frida

5 specializovaných testerů

Mobilní testování je samostatná disciplína — ne každý penetrační tester ji ovládá. Máme tým 5 specialistů, kteří se věnují výhradně mobilním aplikacím a průběžně sledují nové techniky a nástroje.

eMAPT · OSCP · OSWE · CEH

Oblasti testování

Co testujeme na iOS a Androidu

Pokrýváme všechny oblasti definované metodikou OWASP MASTG — od zneužití platformy po business logiku a reverzní inženýrství. Každý test zahrnuje iOS i Android, nativní i hybridní aplikace.

Zneužití platformy

Nechráněná API, zneužití oprávnění, sandboxing a detekce root/jailbreak obcházení.

API abusePermissionsSandbox escape

Ukládání dat

Nešifrované SQLite databáze, SharedPreferences, Keychain a logování citlivých dat v zařízení.

SQLiteKeychainLogs

Síťová komunikace

TLS konfigurace, MITM útoky, SSL pinning bypass a validace certifikátů. Podobné vektory testujeme i u webových aplikací.

TLSMITMSSL pinning

Autentizace & autorizace

Obcházení přihlášení, slabá 2FA, session hijacking, ukládání tokenů a privilege escalation.

Biometrics bypassSession2FA

Kryptografie & kód

Slabé algoritmy (MD5, SHA-1, DES), nešifrované credentials, modifikace APK/IPA a kontrola integrity.

MD5 / SHA-1RepackagingIntegrity

Reverse engineering & business logika

Extrakce API klíčů, dekompilace, repackaging útoky, zneužití slev a obcházení obchodních omezení.

JadxFridaLogic abuse

Nejčastější nálezy

Co útočníci hledají jako první

Přehled nejčastěji zneužívaných zranitelností v mobilních aplikacích podle klasifikace OWASP Mobile Top 10. Každá z nich byla nalezena v reálných projektech INTEGRA.

M1
2024

Improper Credential Usage

Hardcoded přihlašovací údaje a API klíče přímo v kódu aplikace.

Critical

M2
2024

Inadequate Supply Chain Security

Zranitelné závislosti třetích stran a nekontrolované knihovny.

Critical

M3
2024

Insecure Authentication & Authorization

Obcházení biometrie, slabá 2FA, session hijacking a privilege escalation.

High

M4
2024

Insufficient Input/Output Validation

Injection útoky, XSS ve WebView a nezabezpečené zpracování dat od uživatele.

High

M5
2024

Insecure Communication

Chybějící nebo nesprávně implementovaný TLS, MITM zranitelnosti.

High

M6
2024

Inadequate Privacy Controls

Nadměrný sběr dat, nechráněné PII a nesprávná správa souhlasů.

High

M7
2024

Insufficient Binary Protections

Absence obfuskace, snadná dekompilace a repackaging útoky.

Medium

M8
2024

Security Misconfiguration

Chybná nastavení oprávnění, debug módy v produkci, zbytečně exponovaná API.

Medium

M9
2024

Insecure Data Storage

Nešifrované SQLite databáze, citlivá data v SharedPreferences nebo Keychain.

Medium

M10
2024

Insufficient Cryptography

Zastaralé algoritmy (MD5, SHA-1, DES), slabé klíče a chybná implementace šifrování.

Medium

NIS2 · DORA · PCI DSS

Potřebujete test pro splnění regulatorních požadavků?

Konzultace zdarma

FAQ

Časté otázky

Odpovědi na nejčastější dotazy k penetračnímu testování mobilních aplikací.

01 Co potřebujeme připravit před zahájením testu?

Stačí nám poskytnout přístup k testovací verzi aplikace (APK nebo IPA soubor, případně přístup přes TestFlight nebo interní distribuci). Testovací účty a přístup k API prostředí zajistíme společně při scoping callu.

APK nebo IPA soubor testované verze
Testovací účty s různými úrovněmi oprávnění
Popis hlavních funkčních oblastí aplikace
Kontakt na vývojový tým pro případné dotazy

02 Testujete i aplikace s SSL pinningem nebo obfuskovaným kódem?

Ano. SSL pinning bypass a reverzní inženýrství obfuskovaného kódu jsou standardní součástí našeho testování. Používáme rootovaná/jailbreaknutá zařízení s nástroji jako Frida a Objection, které tyto ochrany obcházejí stejně jako by to udělal reálný útočník. Bezpečnost mobilních aplikací bez těchto schopností nelze otestovat komplexně.

03 Jak dlouho trvá test a kdy dostaneme výsledky?

Průměrná délka testu je 5–8 pracovních dní v závislosti na rozsahu a složitosti aplikace. Finální report s nálezy, CVSS hodnocením a doporučeními obdržíte do 3 pracovních dnů po ukončení testování.

04 Je test mobilní aplikace povinný pro NIS2 nebo DORA?

Pokud vaše mobilní aplikace zpracovává citlivá data nebo je součástí kritické infrastruktury, testování je vyžadováno nebo silně doporučeno v rámci:

NIS2 – testování bezpečnosti aplikací pro organizace kritické infrastruktury
DORA – TLPT pro finanční instituce zahrnuje mobilní kanály
ISO 27001 – bezpečnostní testování aplikací jako součást ISMS
PCI DSS – povinné pro aplikace zpracovávající platební data

05 Testujete i backendové API, které aplikace volá?

Ano, API endpointy jsou standardní součástí mobile testu — zachytáváme veškerou komunikaci přes Burp Suite proxy a testujeme bezpečnost API volání, autorizaci, injekce a business logiku na serverové straně. Pokud chcete hlubší pokrytí API, nabízíme i samostatný penetrační test webových aplikací a API.

06 Co obsahuje výstupní zpráva z testu?

Report obsahuje executive summary pro management i technickou část pro vývojový tým:

Přehled všech nalezených zranitelností s CVSS skóre a klasifikací
Detailní popis každého nálezu včetně kroků k reprodukci
Konkrétní doporučení k nápravě pro vývojáře

Začněte ještě dnes

Víte, co útočník najde ve vaší mobilní aplikaci?

Domluvte si bezplatnou konzultaci s naším týmem mobilních specialistů. Navrhneme rozsah testu přesně na míru vaší aplikaci a do 24 hodin pošleme nabídku.

Konzultace zdarma

Nabídka do 24 hodin

NDA od prvního kontaktu

Nezávazná konzultace zdarma

Nebo volejte +420 604 200 062 · security@integra.cz

Penetrační testy mobilních aplikací

Jak testujeme mobilní aplikace

Co testujeme na iOS a Androidu

Co útočníci hledají jako první

Časté otázky

Víte, co útočník najde ve vaší mobilní aplikaci?

Žadost o vzorovou zprávu výsledků z testu