← Terug naar diensten // Offensive

Mobiele App Pentest

iOS en Android - mobiele applicatie pentest van binaire analyse tot runtime hooking

€175 /uur CCV gecertificeerd Neem contact op

Wij testen iOS- en Android-applicaties op kwetsbaarheden in opslag, transport, authenticatie en de applicatielogica zelf. Via static en dynamic analysis, certificate pinning bypass en runtime instrumentation vinden wij kwetsbaarheden die anderen missen.

Wat is een mobiele app pentest?

Een mobiele app pentest is een beveiligingsonderzoek van uw mobiele applicatie(s). Wij analyseren de volledige aanvalsketen: van de binary op het apparaat tot de communicatie met de backend-API en de server-side logica. Mobiele apps slaan vaak gevoelige data lokaal op, communiceren met meerdere backend-services en verwerken authenticatiegegevens.

Wij combineren statische analyse (decompilatie, broncode-review) met dynamische analyse (runtime hooking, traffic interceptie). Met Frida hooken wij security-kritieke functies, met Objection bypassen wij root-detectie en certificate pinning, met Jadx decompileren wij de APK.

Waarom een mobiele app pentest laten uitvoeren?

Gebruikers vertrouwen mobiele apps met gevoelige acties: bankieren, medische data, bedrijfssystemen. De risico's:

  • Onveilige lokale opslag: credentials of tokens die onversleuteld op het apparaat staan.
  • Ontbrekende certificate pinning: man-in-the-middle aanvallen mogelijk.
  • Reverse engineering: een aanvaller decompileert uw app en vindt hardcoded API keys of backend-URLs.
  • Authenticatie-bypass: zwakke biometrische implementatie, session management of token handling.
  • Business logic-flaws: via de app prijzen manipuleren of aankopen omzeilen.

Onze aanpak

Wij volgen de OWASP MASVS en MSTG, maar gaan verder dan de checklist. Bevindingen delen wij direct met u:

  1. Static analysis - decompilatie, broncode-review op hardcoded secrets, onveilige API-calls, zwakke cryptografie, debug-functies in productie.
  2. Dynamic analysis - runtime analyse met Frida: hooking, root/jailbreak-bypass, certificate pinning bypass.
  3. Netwerkcommunicatie - traffic interceptie met Burp Suite: TLS-configuratie, API-authenticatie, data in transit.
  4. Lokale opslag - databases, Keychain/Keystore, SharedPreferences, cachedata op gevoelige informatie.
  5. Authenticatie & sessie - biometrische bypass, token handling, session fixation, account enumeration.
  6. Backend API - de app is slechts een frontend. De echte kwetsbaarheden zitten vaak in de API. Wij testen die mee.
  7. Rapportage - rapport conform MASVS met reproduceerstappen per platform. Hertest op aanvraag.

Hoe verloopt een mobiele app pentest?

Een mobiele app pentest begint bij ons altijd met een gratis scopingsgesprek waarin wij de platforms (iOS, Android of beide), de gebruikte technologie en de testdiepte vaststellen. Vervolgens voeren wij static analysis uit: wij decompileren de binary en beoordelen de code op secrets, zwakke cryptografie en debug-functies. Daarna volgt dynamic analysis, waarbij wij de app op een root- of jailbreak-apparaat draaien en het gedrag tijdens runtime observeren. Wij onderzoeken de netwerkcommunicatie, de lokale opslag, de authenticatie en het sessiebeheer, en wij toetsen de backend-API die de app aanstuurt. Tot slot leveren wij een rapportage met bevindingen, risicoclassificatie en concrete reproduceerstappen per platform, zodat uw ontwikkelteam direct aan de slag kan.

Welke kwetsbaarheden vinden wij in mobiele apps?

In de praktijk komen wij bij een mobiele applicatie pentest steeds dezelfde categorieën tegen. Onveilige lokale opslag is veruit de meest voorkomende: tokens, credentials of persoonsgegevens die onversleuteld in SharedPreferences, een SQLite-database of cachebestanden belanden. Daarnaast zien wij regelmatig ontbrekende certificate pinning, waardoor een man-in-the-middle-aanval het verkeer kan onderscheppen en manipuleren. Via reverse engineering vinden wij hardcoded API keys, backend-URLs en andere secrets die in de binary verstopt zitten. Zwakke authenticatie komt ook vaak voor: een biometrische check die client-side te omzeilen is, slecht sessiebeheer of voorspelbare tokens. Tot slot leggen wij business-logic flaws bloot, waarbij een aanvaller via de app prijzen manipuleert, betaalstappen overslaat of functies gebruikt die niet voor hem bedoeld zijn.

Welke tools en technieken gebruiken wij?

Wij combineren static en dynamic tooling. Voor static analysis gebruiken wij Jadx om Android-APK's te decompileren en MobSF voor een geautomatiseerde eerste scan van de binary, manifest en permissies. Voor dynamic analysis is Frida ons belangrijkste instrument: hiermee hooken wij security-kritieke functies tijdens runtime en passen wij gedrag live aan. Met Objection, dat op Frida bouwt, bypassen wij root- en jailbreak-detectie en schakelen wij certificate pinning uit. Het onderschepte verkeer analyseren wij met Burp Suite, waarmee wij requests naar de backend manipuleren en testen. Voor toegang tot de interne datastromen werken wij op geroote of gejailbreakte apparaten, omdat juist daar de onveilige opslag en de echte aanvalsketen zichtbaar worden.

Volgen jullie de OWASP MASVS-standaard?

Ja. Wij toetsen elke mobiele app pentest tegen de OWASP Mobile Application Security Verification Standard (MASVS) en voeren de tests uit volgens de Mobile Security Testing Guide (MASTG). Deze standaarden geven een gestructureerd kader voor onderwerpen als onveilige opslag, zwakke cryptografie, netwerkbeveiliging, authenticatie en weerbaarheid tegen reverse engineering. Wij gebruiken MASVS niet als afvinklijst, maar als onderlegger: de standaard borgt dat wij niets overslaan, terwijl onze pentesters daarnaast vrij zoeken naar misbruik dat geen enkele checklist beschrijft. Zo combineert u de volledige dekking van een erkende standaard met de creativiteit van ervaren offensieve specialisten.

Testen jullie iOS, Android en cross-platform apps?

Ja. Wij testen native iOS-apps (Swift, Objective-C) en native Android-apps (Kotlin, Java), maar ook cross-platform applicaties die met Flutter of React Native zijn gebouwd. Elk platform kent zijn eigen aandachtspunten: de iOS Keychain en App Transport Security, de Android Keystore en het permissiemodel, en bij cross-platform frameworks de manier waarop de bridge tussen native code en de gedeelde codebase wordt afgehandeld. Bij elke variant kijken wij niet alleen naar de app zelf, maar ook naar de communicatie met de backend-API. Een mobiele applicatie pentest dekt bij ons dus de volledige keten, ongeacht de gekozen technologie.

Nemen jullie de backend-API mee?

Ja, standaard in overweging. De mobiele app is uiteindelijk slechts een frontend: de werkelijke logica, de autorisatiecontroles en de data leven op de backend. Veel van de ernstigste bevindingen vinden wij dan ook niet in de app, maar in de API erachter. Denk aan endpoints die onvoldoende autorisatie afdwingen, waardoor een gebruiker bij data van anderen kan, of aan parameters die de app netjes invult maar die server-side niet worden gevalideerd. Wij onderscheppen het verkeer tussen app en backend en testen die API actief mee. Of de backend volledig binnen scope valt, bepalen wij samen met u tijdens het scopingsgesprek.

Mobiele app pentest en compliance

Een mobiele app pentest is bij uitstek relevant voor sectoren die gevoelige gegevens verwerken via een app, zoals bankieren, betaaldiensten en de zorg. Een aantoonbaar getest beveiligingsniveau is daar niet alleen een beveiligingsmaatregel, maar vaak ook een eis van toezichthouders, ketenpartners of klanten. Onze rapportage sluit aan op de OWASP MASVS en levert het bewijsmateriaal dat past binnen een ISO 27001-managementsysteem of een NIS2-traject, waarin periodieke technische toetsing van uw applicaties wordt verwacht. Zo helpt een mobiele applicatie pentest u niet alleen om concrete kwetsbaarheden te verhelpen, maar ook om richting auditors en stakeholders aan te tonen dat u uw mobiele aanvalsoppervlak serieus en gestructureerd beheerst.

Wat kost een mobiele app pentest?

Ons uurtarief is €175 per uur. De kosten hangen af van complexiteit, authenticatiemethoden en of de backend-API wordt meegenomen. Vaste offerte na een scopingsgesprek.

Veelgestelde vragen

Kunnen jullie apps testen die alleen in een MDM-omgeving draaien?

Ja. Wij hebben ervaring met Intune, VMware Workspace ONE en andere MDM-omgevingen. Wij testen op zowel managed als unmanaged devices om te verifiëren dat de MDM-restricties effectief zijn.

Moeten jullie de broncode hebben?

Bij voorkeur wel. Dit scheelt namelijk veel tijd in de analyse, wat de efficientie ten goede komt.

Testen jullie zowel iOS als Android?

Ja. Wij testen native iOS- en Android-apps en cross-platform apps (zoals Flutter en React Native), inclusief de communicatie met de backend-API's.

Volgen jullie de OWASP MASVS-standaard?

Ja. Wij toetsen tegen de OWASP Mobile Application Security Verification Standard (MASVS) en de Mobile Security Testing Guide (MASTG), met aandacht voor onveilige opslag, zwakke cryptografie en reverse engineering.

Wat kost een mobiele app pentest?

Ons uurtarief is €175 per uur (excl. BTW). De totale kosten van een mobiele app pentest hangen af van het aantal platforms (iOS, Android of beide), de complexiteit van de app en of de backend-API wordt meegenomen. Na een gratis scopingsgesprek ontvangt u een vaste offerte.

Klaar om uw security te testen?

Neem contact op met ons team voor een vrijblijvend gesprek over uw security uitdagingen.