Naar inhoud
    PrijzenInloggen
    ·Door Budget Security

    Mobiele App Penetratietest

    Mobiele applicaties draaien op apparaten die u niet beheert. Uw app wordt gedownload, geinstalleerd en gebruikt op duizenden telefoons en tablets met uiteenlopende beveiligingsniveaus. Een mobiele app pentest controleert of uw iOS- of Android-app bestand is tegen aanvallers die de app decompileren, het netwerkverkeer onderscheppen of lokale gegevens stelen.

    iOS en Android beveiliging

    iOS en Android hebben fundamenteel verschillende beveiligingsmodellen. iOS vertrouwt op sandboxing en strenge App Store-controles, maar apps kunnen alsnog gevoelige gegevens opslaan in de Keychain zonder adequate bescherming of certificaatpinning ontwijken. Android biedt meer vrijheid aan ontwikkelaars, wat resulteert in bredere aanvalsmogelijkheden: van insecure content providers tot exportable activities die door andere apps misbruikt kunnen worden.

    Onze pentesters testen beide platformen met gespecialiseerde tools zoals Frida, Objection, MobSF en Burp Suite. Wij decompileren de app, analyseren de broncode, onderscheppen API-verkeer en testen de runtime-beveiliging op zowel gejailbreakte als standaard apparaten.

    Wat testen wij bij een mobiele app pentest?

    • Lokale gegevensopslag: worden wachtwoorden, tokens en persoonsgegevens veilig opgeslagen op het apparaat?
    • Netwerkverkeer: is certificaatpinning correct geimplementeerd? Kunnen aanvallers API-verkeer onderscheppen?
    • Authenticatie en sessiebeheer: hoe worden tokens opgeslagen en vernieuwd? Zijn biometrische checks correct afgedwongen?
    • Reverse engineering: kan de app gedecompileerd worden? Zijn API-sleutels, secrets of hardcoded credentials zichtbaar in de code?
    • Platform-specifieke kwetsbaarheden: insecure IPC, deeplink hijacking, WebView-kwetsbaarheden, clipboard-lekken
    • Backend API-beveiliging: autorisatie op objectniveau, rate limiting en inputvalidatie van de mobiele API-endpoints

    OWASP Mobile Top 10

    De OWASP Mobile Top 10 is de internationaal erkende standaard voor mobiele app beveiliging. Onze pentests dekken alle tien categorieen, waaronder:

    • M1: Improper Credential Usage - onveilig gebruik van inloggegevens en API-sleutels
    • M2: Inadequate Supply Chain Security - risico's in third-party libraries en SDK's
    • M3: Insecure Authentication/Authorization - gebrekkige authenticatie- en autorisatiemechanismen
    • M4: Insufficient Input/Output Validation - ontbrekende validatie die leidt tot injectie-aanvallen
    • M5: Insecure Communication - onversleuteld of onvoldoende beveiligd netwerkverkeer
    Offerte aanvragenPentest kostencalculator

    Andere penetratietest diensten

    Web Applicatie PenetratietestNetwerk PenetratietestAPI Penetratietest

    Mobiele App Penetratietest - Veelgestelde vragen

    Wat is een mobiele app penetratietest?
    Een mobiele app penetratietest is een beveiligingsonderzoek van uw iOS- of Android-applicatie. Wij analyseren de app zelf, de communicatie met de backend en de lokale gegevensopslag op het apparaat. Het doel is kwetsbaarheden vinden die aanvallers kunnen misbruiken om gegevens te stelen, functionaliteit te manipuleren of ongeautoriseerde toegang te verkrijgen.
    Testen jullie zowel iOS als Android apps?
    Ja. Wij testen native iOS apps, native Android apps, hybride applicaties (React Native, Flutter, Xamarin) en Progressive Web Apps (PWA's). Elk platform heeft eigen kwetsbaarheden. iOS apps zijn bijvoorbeeld gevoelig voor keychain-lekken, terwijl Android apps vatbaarder zijn voor reverse engineering door het open ecosysteem.
    Hoe lang duurt een mobiele app pentest?
    Een standaard mobiele app pentest duurt 3 tot 5 testdagen per platform. Als u zowel de iOS als Android versie wilt laten testen, duurt de totale test 5 tot 8 dagen. De exacte duur hangt af van de complexiteit van de app, het aantal schermen en de backend-integratie.
    Wat kost een mobiele app penetratietest?
    Onze mobiele app pentests beginnen vanaf 849 euro per testdag. Een test van een enkel platform (iOS of Android) begint bij circa 2.500 euro. Een gecombineerde test van beide platformen begint bij circa 4.200 euro. Gebruik onze kostencalculator voor een schatting op maat.
    Moet ik de broncode delen voor een mobiele app pentest?
    Dat is niet verplicht. Wij kunnen een black-box test uitvoeren op de gepubliceerde app. Toegang tot de broncode (white-box test) maakt de test echter grondiger: wij vinden dan ook kwetsbaarheden in de code die via reverse engineering moeilijk te ontdekken zijn. Wij adviseren een grey-box aanpak met toegang tot een testaccount en API-documentatie.
    Welke standaard volgen jullie bij een mobiele app pentest?
    Wij volgen de OWASP Mobile Application Security Verification Standard (MASVS) en de bijbehorende Mobile Testing Guide (MASTG). Dit zijn de internationaal erkende standaarden voor mobiele app beveiliging. Daarnaast testen wij op platform-specifieke kwetsbaarheden die buiten de OWASP-scope vallen.