← Terug naar diensten // Offensive

Mobile App Pentest

iOS en Android - van binaire analyse tot runtime hooking

€175 /uur CCV gecertificeerd

Wij testen iOS- en Android-applicaties op kwetsbaarheden in opslag, transport, authenticatie en de applicatielogica zelf. Via static en dynamic analysis, certificate pinning bypass en runtime instrumentation vinden wij kwetsbaarheden die anderen missen.

Wat is een mobiele app pentest?

Een mobiele app pentest is een beveiligingsonderzoek van uw mobiele applicatie(s). Wij analyseren de volledige aanvalsketen: van de binary op het apparaat tot de communicatie met de backend-API en de server-side logica. Mobiele apps slaan vaak gevoelige data lokaal op, communiceren met meerdere backend-services en verwerken authenticatiegegevens.

Wij combineren statische analyse (decompilatie, broncode-review) met dynamische analyse (runtime hooking, traffic interceptie). Met Frida hooken wij security-kritieke functies, met Objection bypassen wij root-detectie en certificate pinning, met Jadx decompileren wij de APK.

Waarom een mobiele app pentest laten uitvoeren?

Gebruikers vertrouwen mobiele apps met gevoelige acties: bankieren, medische data, bedrijfssystemen. De risico's:

  • Onveilige lokale opslag: credentials of tokens die onversleuteld op het apparaat staan.
  • Ontbrekende certificate pinning: man-in-the-middle aanvallen mogelijk.
  • Reverse engineering: een aanvaller decompileert uw app en vindt hardcoded API keys of backend-URLs.
  • Authenticatie-bypass: zwakke biometrische implementatie, session management of token handling.
  • Business logic-flaws: via de app prijzen manipuleren of aankopen omzeilen.

Onze aanpak

Wij volgen de OWASP MASVS en MSTG, maar gaan verder dan de checklist. Bevindingen delen wij direct met u:

  1. Static analysis - decompilatie, broncode-review op hardcoded secrets, onveilige API-calls, zwakke cryptografie, debug-functies in productie.
  2. Dynamic analysis - runtime analyse met Frida: hooking, root/jailbreak-bypass, certificate pinning bypass.
  3. Netwerkcommunicatie - traffic interceptie met Burp Suite: TLS-configuratie, API-authenticatie, data in transit.
  4. Lokale opslag - databases, Keychain/Keystore, SharedPreferences, cachedata op gevoelige informatie.
  5. Authenticatie & sessie - biometrische bypass, token handling, session fixation, account enumeration.
  6. Backend API - de app is slechts een frontend. De echte kwetsbaarheden zitten vaak in de API. Wij testen die mee.
  7. Rapportage - rapport conform MASVS met reproduceerstappen per platform. Hertest op aanvraag.

Wat kost een mobiele app pentest?

Ons uurtarief is €175 per uur. De kosten hangen af van complexiteit, authenticatiemethoden en of de backend-API wordt meegenomen. Vaste offerte na een scopingsgesprek.

Veelgestelde vragen

Kunnen jullie apps testen die alleen in een MDM-omgeving draaien?

Ja. Wij hebben ervaring met Intune, VMware Workspace ONE en andere MDM-omgevingen. Wij testen op zowel managed als unmanaged devices om te verifiëren dat de MDM-restricties effectief zijn.

Moeten jullie de broncode hebben?

Bij voorkeur wel. Dit scheelt namelijk veel tijd in de analyse, wat de efficientie ten goede komt.

Gerelateerde diensten

// Offensive

Web Applicatie Pentest

OWASP, businesslogica, auth-bypass - van login tot back-end

 // Offensive

Pentesting

CCV gecertificeerd - blackbox, greybox & whitebox

Klaar om uw security te testen?

Neem contact op met ons team voor een vrijblijvend gesprek over uw security uitdagingen.

Neem contact op