Χρειάζεται πρόσβαση σε κώδικα ή αρκεί το build;

Μπορούμε να δοκιμάσουμε black/grey‑box με IPA/APK (instrumented ή test build). Ο πηγαίος κώδικας βελτιώνει την κάλυψη (white‑box), αλλά δεν είναι απαραίτητος.

Είναι ασφαλές για παραγωγή/χρήστες;

Δουλεύουμε σε test περιβάλλοντα, με test accounts/seed data. Σε παραγωγή τηρούμε αυστηρό ROE (χωρίς DoS/καταστροφικές ενέργειες) και χρονισμούς εκτός αιχμής.

Καλύπτετε και το backend/API;

Ναι. Το mobile pentest περιλαμβάνει API & auth flows (OAuth/OIDC, session mgmt), rate limiting, object access, και συσχετίζεται με ευρήματα backend.

Παρέχετε secure coding tips & re‑test;

Για κάθε εύρημα δίνουμε root‑cause, παραδείγματα κώδικα/ρυθμίσεων και οδηγίες. Μετά τις διορθώσεις εκτελούμε re‑test και attestation.

Mobile Application Penetration Testing | Audax Cybersecurity

Manual‑first • MASVS‑aligned • Exploitation‑driven

Mobile Application Penetration Testing

iOS/Android apps, APIs, data storage & transport, reverse engineering. Πλήρης αναφορά ευρημάτων και risk‑based διορθώσεις με secure coding tips.

Σύνοψη Παραδοτέα Ζητήστε Πρόταση

Σύνοψη υπηρεσίας

Συνδυάζουμε static (SAST) & dynamic (DAST) ανάλυση με manual testing και instrumentation σε συσκευές/emulators. Εξετάζουμε business logic, auth/session ροές, deep links/intents/URL schemes, αποθήκευση/μεταφορά δεδομένων, TLS/pinning και ανθεκτικότητα σε tampering.

Static & dynamic analysis
API & auth flows
Secure coding tips

Γιατί είναι αναγκαίο τώρα

API‑driven επιθέσεις

Token theft, broken auth, IDOR/BOLA, insecure bindings.

Privacy & data paths

GDPR, sensitive logs, local storage & screenshots/background.

Resilience & tamper

Jailbreak/root, cert pinning, anti‑debug & runtime protections.

Μεθοδολογία

Βήμα 1

Scoping & ROE

Πεδίο apps/εκδόσεων, συσκευές, accounts, όρια & χρονισμοί.

Βήμα 2

Threat modeling

Flows, deep links/intents, data‑paths & privacy.

Βήμα 3

Static (SAST)

Code/binary: secrets, storage, crypto, logging, configs.

Βήμα 4

Dynamic (DAST)

Runtime: transport, session, pinning, instrumentation.

Βήμα 5

API & auth

OAuth/OIDC, scopes/claims, rate limits, object access.

Βήμα 6

Reporting & re‑test

Reports, secure coding tips, επανέλεγχος & attestation.

Παραδοτέα

Executive & technical report (εύρημα, PoC/evidence, impact, fixes)
OWASP MASVS mapping & checklist με status
API findings (auth, rate limiting, object/function access)
Secure coding tips (κώδικας/ρυθμίσεις) ανά πλατφόρμα
Store readiness & privacy/data‑flow observations
Re‑test & attestation μετά τις διορθώσεις

Engagement models

Pre‑release

Έλεγχος πριν από release/TestFlight/βήτα.

Release Sprint

Γρήγορο κύμα σε νέα features/SDKs.

Continuous

Κυκλικά pentests ευθυγραμμισμένα με CI/CD.

Θέλετε mobile pentest που οδηγεί σε καλύτερο κώδικα; Ας ορίσουμε scope & ROE.

Ζητήστε Πρόταση

Συχνές ερωτήσεις

Μπορεί να γίνει χωρίς πρόσβαση στον κώδικα;

Ναι, με test builds (APK/IPA) και instrumentation. Αν υπάρχει κώδικας, η κάλυψη βελτιώνεται (white‑box).

Επηρεάζεται η παραγωγή ή οι χρήστες;

Όχι. Χρησιμοποιούμε test περιβάλλοντα και λογαριασμούς. Σε παραγωγή, τηρούμε ελάχιστη πρόσβαση και αυστηρό ROE.

Καλύπτετε τα backend APIs;

Ναι. Δοκιμάζουμε APIs μαζί με την εφαρμογή: auth, rate limits, object/function access, data‑flows.