บริการ Penetration Testing สำหรับแอปพลิเคชันมือถือ
บริการ Mobile Application Penetration Testing ที่ได้รับการรับรองจาก CREST สำหรับทั้ง iOS และ Android โดยสอดคล้องกับ OWASP MASTG และ MASVS ซึ่งเป็นมาตรฐานที่ Vantage Point มีบทบาทในการเขียนตั้งแต่ต้น
แอปพลิเคชันมือถือเป็นช่องทางที่แบกรับความเชื่อมั่นจากลูกค้าสูง ไม่ว่าจะเป็นบริการธนาคาร สุขภาพ ระบบยืนยันตัวตนภาครัฐ หรือการชำระเงิน ขณะเดียวกันก็รวมความเสี่ยงไว้ในรูปแบบที่อินเทอร์เฟซอื่นไม่ค่อยมี เพราะทำงานอยู่บนอุปกรณ์ที่องค์กรควบคุมไม่ได้ มีการเชื่อมต่อกับ Backend ที่ละเอียดอ่อน และจัดเก็บข้อมูลที่ผู้ใช้มักไม่รับรู้ Mobile Penetration Testing จึงช่วยให้คำตอบว่าความเสี่ยงเหล่านั้นถูกจัดการแล้วจริงหรือเพียงแค่ถูกคาดเดาว่าปลอดภัย
การทดสอบแอปพลิเคชันมือถือของ Vantage Point ใช้ Static Analysis, Dynamic Analysis และ Manual Penetration Testing เชิงลึกตลอด Mobile Attack Surface โดยอ้างอิง MASTG ทำให้ทุก Test Case เชื่อมโยงกลับไปยังขั้นตอนในมาตรฐานสากลที่เรามีส่วนร่วมเขียนตั้งแต่ต้น
ขอบเขตครอบคลุมทั้งตัวแอปพลิเคชันและสภาพแวดล้อมที่รองรับ เช่น Backend API การสื่อสารผ่านเครือข่าย การเชื่อมต่อกับแพลตฟอร์ม Certificate Pinning การควบคุม Anti-Tamper และความทนทานต่อ Reverse Engineering โดย Findings สามารถทำซ้ำได้บนอุปกรณ์หรือ Emulator ที่ตรวจพบประเด็นนั้น
ความเสี่ยงที่ต้องพิจารณา
Mobile ทำงานบนอุปกรณ์ที่องค์กรควบคุมโดยตรงไม่ได้
ต่างจากโค้ดฝั่ง Server แอปมือถือทำงานบนอุปกรณ์ของลูกค้า ซึ่งอาจทำ Root, Jailbreak, หรือทำงานบน Emulator ได้ Threat Model จึงต้องตั้งสมมติฐานว่า Hacker ควบคุม runtime ของอุปกรณ์ได้เต็มที่
แรงกดดันจากหน่วยงานกำกับดูแลเพิ่มขึ้นอย่างต่อเนื่อง
มาตรฐาน Safe App Standard ของสิงคโปร์ ข้อคาดหวังของ MAS ต่อแอปพลิเคชันมือถือทางการเงิน และแนวโน้มที่คล้ายคลึงกันในระดับภูมิภาค ล้วนผลักดันให้ความปลอดภัยของแอปพลิเคชันมือถือเปลี่ยนสถานะจาก 'สิ่งที่มีก็ดี' ไปสู่ 'สิ่งที่ต้องมีหลักฐานยืนยัน'
Backend ที่เปิดผ่าน Mobile ทำให้ความเสี่ยงทวีคูณ
แอปพลิเคชันมือถือมักเป็นช่องทางที่ถูกโจมตีมากที่สุดในการเข้าถึง Backend API ที่ดูเหมือนป้องกันแน่นหนา การทดสอบเพียงแค่แอปพลิเคชันโดยไม่ทดสอบ API ด้วยจะทำให้พลาดความเสี่ยงที่แท้จริง
สิ่งที่เราทดสอบ
การควบคุมในระดับแอปพลิเคชัน (Application Controls)
การควบคุมบนอุปกรณ์ที่ครอบคลุมทั้ง Data, Authentication, Cryptography และการเชื่อมต่อกับแพลตฟอร์ม ตามข้อกำหนด MASVS L1 / L2 / R
- การจัดเก็บข้อมูลและความเป็นส่วนตัว (Data Storage & Privacy)
- การยืนยันตัวตนและการจัดการ Session
- การใช้งาน Cryptography
- การเชื่อมต่อกับแพลตฟอร์ม (Intents, URL Schemes, Permissions)
- ความทนทานต่อ Reverse Engineering และ Tampering
Backend และการสื่อสาร
Attack Surface ที่แอปพลิเคชันเชื่อมต่อ ซึ่งเป็นส่วนที่มักพบช่องโหว่ที่ส่งผลกระทบสูงที่สุด
- ความปลอดภัยของ Backend API
- การสื่อสารผ่านเครือข่ายและ Certificate Pinning
- ความปลอดภัยของ WebView และ Embedded Browser
- การสื่อสารระหว่างกระบวนการคอมพิวเตอร์ (Inter-Process Communication)
- คุณภาพของ Code, รวมถึง Obfuscation และ Anti-Tamper
ช่องโหว่ที่เรามักพบจากการทดสอบในลักษณะนี้
ข้อมูลที่นำเสนอเป็นกลุ่มช่องโหว่ที่ที่ปรึกษาของเรามักพบจากการทดสอบในลักษณะเดียวกัน ความรุนแรงและความถี่จะแตกต่างกันตามสภาพแวดล้อมและระดับความพร้อมของแต่ละองค์กร
การจัดเก็บข้อมูลที่ไม่ปลอดภัย
PII และ Token ถูก Cache ใน Shared Preferences Sensitive Data ใน WebView Storage การใช้ Keychain ที่ไม่ถูกต้อง และการรั่วไหลผ่านภาพหน้าจอหรือ System Log
Cryptography ที่ไม่ปลอดภัย
คีย์ที่ฝังอยู่ในโค้ด Algorithms ที่อ่อนแอ (DES, ECB) การเข้ารหัสที่พัฒนาขึ้นเอง การขาด IV แบบสุ่ม และการสร้างเซสชันที่คาดเดาได้
การสื่อสารที่ไม่ปลอดภัย
ระบบไม่มี Certificate Pinning หรือมีแต่อ่อนแอ ช่องทางสื่อสารที่ผสม HTTP/HTTPS การกำหนดค่า Handshake ที่มีช่องโหว่ และการ Fallback ไป WebSocket ที่ไม่ปลอดภัย
ช่องโหว่ในการยืนยันตัวตน (Authentication)
การข้ามผ่านการยืนยันตัวตนแบบ Step-up, ระบบ Fallback ใช้การยืนยันตัวตนที่อ่อนแอกว่า, UX ไบโอเมตริกซ์ที่บั่นทอนวัตถุประสงค์ด้านความปลอดภัย, และเซสชันที่ไม่ได้ผูกกับอุปกรณ์
ช่องโหว่ในการกำหนดสิทธิ์ (Authorisation) ฝั่ง Backend
IDOR ที่เปิดเผยข้อมูลของผู้ใช้คนอื่นผ่าน Mobile API, ระบบไม่มีการตรวจสอบ Tenant และ Debug Endpoint ที่เข้าถึงได้ใน Production Build
การรั่วไหลผ่าน Reverse Engineering
ระบบไม่มี Root/Jailbreak Detection, Bypass Anti-Debug ที่ทำได้ง่าย, และตรรกะที่ละเอียดอ่อนซึ่งควรอยู่ฝั่ง Server แต่กลับไปอยู่ฝั่ง Client
แนวทางการทำงานที่มีโครงสร้างชัดเจน ขับเคลื่อนด้วยข้อมูลเชิงลึกในทุกการทดสอบ
ทุกโครงการดำเนินตามแนวทางที่มีระเบียบวินัยเดียวกันผ่านแพลตฟอร์ม Velocity เพื่อให้คุณภาพ การติดตามตรวจสอบ และการรายงานมีมาตรฐานเดียวกันในทุกทีม
การกำหนดขอบเขต
กำหนดสินทรัพย์ สภาพแวดล้อม ข้อกำหนดในการทดสอบ และเกณฑ์การยอมรับร่วมกับผู้เกี่ยวข้องด้านเทคนิคและความปลอดภัย
การดำเนินการ
การทดสอบแบบ Manual และด้วยเครื่องมือโดยที่ปรึกษาที่ได้รับการรับรอง CREST พร้อมเก็บหลักฐานในทุกขั้นตอน
การตรวจสอบความถูกต้อง
ทุกการค้นพบจะถูกทำซ้ำ ประเมินระดับความเสี่ยงด้วย CVSS และยืนยันโดยที่ปรึกษาท่านที่สองก่อนรายงานผล
การรายงาน
รายงานที่ลงนามด้วยรหัส พร้อมการอ้างอิง Test Case การจัดระดับความรุนแรง ขั้นตอนการทำซ้ำ และแนวทางแก้ไข
สรุปผลและการทดสอบซ้ำ
การประชุมสรุปผลกับผู้เกี่ยวข้อง การช่วยจัดลำดับความสำคัญ และการทดสอบซ้ำหลังการแก้ไข
อ้างอิงมาตรฐานสากลที่ได้รับการยอมรับ
คำถามจากผู้สนใจใช้บริการ
จำเป็นต้องใช้อุปกรณ์ที่ Root หรือ Jailbreak หรือไม่? +
จำเป็น เพราะการทดสอบ Manual ตาม MASTG ต้องใช้อุปกรณ์ทดสอบที่ Instrument ได้ เราใช้อุปกรณ์ทดสอบของเราเอง และไม่มีการแก้ไขอุปกรณ์ของลูกค้า
ทดสอบแอปพลิเคชันที่มี Anti-Tamper / RASP อย่างไร? +
การทดสอบความทนทาน (Resilience) ตาม MASVS-R เป็นส่วนหนึ่งของวิธีการทดสอบอยู่แล้ว เราประเมินว่าการควบคุมเหล่านั้นทำงานตามที่ระบุไว้หรือไม่ โดยประสานงานกับทีมพัฒนา และการ Bypass ไม่ได้เป็นเป้าหมายหลัก
สามารถทดสอบ Backend API ไปพร้อมกันได้หรือไม่? +
แนะนำว่าควรจะทดสอบ เพราะช่องโหว่ที่มีผลกระทบสูงส่วนใหญ่อยู่ที่ API การทดสอบ Mobile และ API พร้อมกันเป็นรูปแบบที่พบบ่อยที่สุด
รองรับ React Native, Flutter, Xamarin หรือไม่? +
รองรับทั้งหมด โดย Cross-Platform Framework แต่ละตัวมีลักษณะเฉพาะ (Bundled JavaScript, Asset Packaging, Native Bridge) ซึ่งเรามี Test Case เฉพาะรองรับในทุกรูปแบบ
ทดสอบการป้องกันของท่านกับผู้เชี่ยวชาญด้านการรักษาความปลอดภัยเชิงรุก
ปรึกษาที่ปรึกษาที่ได้รับการรับรอง CREST เกี่ยวกับการทดสอบ Penetration Testing ครั้งถัดไปของท่าน