Тестване за проникване на мобилни приложения

Обхват

Проникване в мобилното приложение на дигитална банка, с версии за Android и iOS. Тестът беше извършен по техника Gray Box, като симулира действията на злонамерен потребител с частични познания относно функционалността на системата.

Заключения

Беше забелязано, че липсва валидиране на входа както във версиите за Android, така и за iOS. Атаките, базирани на тази уязвимост, могат да се извършват върху приложението. Независимо от липсата на правилна проверка на входа, няма успешна експлоатация поради MVC рамката. В приложението за iOS беше забелязано, че данните за транзакциите се съхраняват в обикновен текстови формат в локално хранилище. Също така беше открито, че са активирани моментните снимки на приложенията.

Времева рамка

  • 13 работни дни
  • 5 дни за проникване в Android версията
  • 5 дни за проникване в iOS версията
  • 3 дни за изготвяне на отчет за откритите уязвимости и отстраняването им

Изпълнени стъпки

  • Архитектура, дизайн и моделиране на заплахи
  • Съхранение и поверителност на данни
  • Проверка на криптографията
  • Удостоверяване и управление на сесии
  • Мрежова комуникация
  • Взаимодействие с околната среда
  • Настройки за качество на кода и компилация
  • Устойчивост спрямо тревър инженерство