EN ID TH
Pengujian Penetrasi → Mobile Application

Pengujian Penetrasi Aplikasi Mobile

Penetration testing aplikasi mobile tersertifikasi CREST untuk iOS dan Android, selaras dengan OWASP MASTG dan MASVS, standar yang awalnya ditulis oleh Vantage Point.

Aplikasi mobile membawa pangsa kepercayaan pelanggan yang tidak proporsional: perbankan, kesehatan, identitas pemerintahan, pembayaran. Aplikasi mobile juga memusatkan risiko dengan cara yang jarang dilakukan antarmuka lain, berjalan di perangkat yang tidak terkendali, mengakses backend sensitif, dan menyimpan data yang sering kali tidak disadari pengguna. Penetration testing aplikasi mobile adalah yang memberi tahu Anda apakah risiko tersebut telah dikelola atau sekadar diasumsikan.

Pengujian aplikasi mobile Vantage Point menggabungkan analisis statis dan dinamis dengan pengujian penetrasi manual yang ekstensif di seluruh permukaan serangan mobile. Pengujian didorong oleh MASTG, artinya setiap pengujian dipetakan ke prosedur yang dipublikasikan dalam standar global yang awalnya kami bantu tulis.

Cakupan melingkup aplikasi dan environment pendukungnya, backend API, komunikasi jaringan, integrasi platform, certificate pinning dan kontrol anti-tamper, serta ketahanan aplikasi terhadap reverse engineering. Temuan dapat direproduksi pada perangkat atau emulator tempat temuan tersebut ditemukan.

Mengapa Hal Ini Penting

Risiko yang dihadapi organisasi Anda.

Mobile berjalan di perangkat yang tidak terkendali

Berbeda dengan kode sisi server, aplikasi mobile berjalan di perangkat apa pun yang dimiliki pelanggan, yang berpotensi di-root, di-jailbreak, di-instrumentasi, atau berjalan di emulator. Threat model harus mengasumsikan penyerang memiliki kendali penuh atas runtime.

Tekanan regulasi semakin intensif

Singapore Safe App Standard, ekspektasi MAS terhadap aplikasi mobile keuangan, dan langkah serupa di kawasan ini semuanya mendorong keamanan mobile dari "nice to have" menjadi "bukti yang diwajibkan".

Eksposur backend memperbesar risiko

Aplikasi mobile biasanya adalah titik masuk yang paling ramai dan paling diserang ke backend API yang sebenarnya terlindungi dengan baik. Menguji aplikasi tanpa menguji sistem yang diajaknya berkomunikasi akan melewatkan sebagian besar permukaan risiko yang sesungguhnya.

Ruang Lingkup & Cakupan

Yang kami uji.

Kontrol Aplikasi

Kontrol on-device yang melingkup data, autentikasi, kriptografi, dan integrasi platform, persyaratan MASVS L1/L2/R.

  • Penyimpanan data dan privasi
  • Autentikasi dan manajemen session
  • Implementasi kriptografi
  • Interaksi platform (intent, scheme, permission)
  • Ketahanan terhadap reverse engineering dan tampering

Backend & Transport

Permukaan yang diajak berkomunikasi oleh aplikasi. Sering kali tempat temuan berdampak tertinggi berada.

  • Keamanan backend API
  • Komunikasi jaringan dan certificate pinning
  • Keamanan WebView dan embedded browser
  • Komunikasi antarproses
  • Kualitas kode, obfuscation, dan anti-tamper
Yang biasa kami temukan

Kelemahan yang secara konsisten muncul pada engagement seperti ini.

Dirangkum dari kategori temuan yang umum dihasilkan konsultan kami pada engagement sejenis. Tingkat keparahan dan frekuensi bervariasi sesuai lingkungan dan kematangan organisasi.

Penyimpanan data yang tidak aman

PII dan token yang di-cache di shared preferences, data sensitif di WebView storage, penyalahgunaan keychain, kebocoran melalui screenshot atau system log.

Kriptografi yang rusak

Hardcoded key, algoritma lemah (DES, ECB), kriptografi buatan sendiri, IV randomisation yang hilang, pembuatan session yang dapat diprediksi.

Komunikasi yang tidak aman

Certificate pinning yang hilang atau lemah, saluran mixed-content, konfigurasi handshake yang rentan, WebSocket fallback yang tidak aman.

Kelemahan autentikasi

Step-up yang dapat dilewati (bypass), fallback ke autentikasi yang lebih lemah, UX prompt biometrik yang menggagalkan tujuan keamanannya, session yang tidak terikat ke perangkat.

Celah otorisasi backend

IDOR yang mengekspos data pengguna lain melalui endpoint mobile API, tenant check yang hilang, endpoint debug yang dapat dijangkau di build production.

Eksposur reverse-engineering

Tidak ada deteksi root/jailbreak, kontrol anti-debug yang mudah dilewati, logika sensitif di sisi client yang seharusnya berada di sisi server.

Model Engagement

Jalur kerja terstruktur dan berbasis intelijen pada setiap engagement.

Setiap engagement mengikuti alur disiplin yang sama melalui platform Velocity, sehingga kualitas, ketertelusuran, dan pelaporan konsisten di seluruh tim.

Penetapan Ruang Lingkup

Tetapkan aset, lingkungan, Rules of Engagement, dan kriteria penerimaan bersama para pemangku kepentingan teknis dan keamanan.

Pelaksanaan

Pengujian manual dan berbantuan tools oleh konsultan tersertifikasi CREST, dengan bukti yang ditangkap pada setiap langkah.

Validasi

Setiap temuan direproduksi, dinilai risikonya menggunakan CVSS, dan dikonfirmasi oleh konsultan kedua sebelum dilaporkan.

Pelaporan

Laporan yang ditandatangani secara kriptografis, dengan ketertelusuran ke setiap Test Case, peringkat tingkat keparahan, langkah reproduksi, dan rekomendasi remediasi.

Debrief & Retest

Pemaparan temuan kepada pemangku kepentingan, dukungan prioritisasi, dan siklus retest atas temuan yang telah diremediasi.

Standar & Kerangka Kerja

Dipetakan ke baseline yang diakui industri.

OWASP MASTG
OWASP MASVS
Singapore Safe App Standard (jika berlaku)
NIST mobile guidance
Pertanyaan yang Sering Diajukan

Pertanyaan umum dari calon klien.

Apakah Anda memerlukan perangkat yang di-root atau di-jailbreak? +

Ya, pengujian manual berbasis MASTG memerlukan perangkat uji yang ter-instrumentasi. Kami menggunakan perangkat uji kami sendiri; perangkat klien tidak dimodifikasi.

Bagaimana Anda menguji aplikasi yang menggunakan anti-tamper / RASP yang kuat? +

Pengujian ketahanan di bawah MASVS-R secara eksplisit menjadi bagian dari metodologi. Kami mengevaluasi apakah kontrol tersebut melakukan apa yang diklaim, dengan koordinasi bersama tim pengembangan, alih-alih memperlakukan bypass sebagai tujuan.

Apakah Anda dapat menguji backend API secara bersamaan? +

Sangat direkomendasikan, sebagian besar temuan berdampak tinggi berada di API. Pengujian gabungan mobile + API adalah pola yang umum.

Bagaimana dengan React Native, Flutter, Xamarin? +

Semua didukung. Framework cross-platform memiliki keanehan tersendiri (JavaScript yang di-bundle, packaging asset, native bridge) yang kami miliki Test Case spesifiknya.

Uji Pertahanan Anda dengan Pendekatan Adversarial Ofensif

Konsultasikan kebutuhan Pengujian Penetrasi berikutnya dengan konsultan tersertifikasi CREST kami.

Konsultasi dengan Pakar