Pentest Mobile: iOS, Android e App Ibride
Analisi statica + dinamica + comunicazione + piattaforma + API + logica di business. OWASP MASVS/MASTG, MASVS-L2 per app con dati sensibili.
Perché ora
Il dolore reale
Il pentest mobile è la categoria con il più alto tasso di "scan camuffato" del mercato. Molti fornitori consegnano MobSF eseguito da uno stagista e lo chiamano pentest. App di fintech, sanità e governo richiedono validazione manuale reale — certificate pinning, secret in release, IDOR su endpoint mobile-only, root/jailbreak detection. Senza ciò, l'auditor boccia e il cliente esce violato.
Framework applicabili
/superficie-di-attacco
Pentest Mobile
Ogni ingaggio è progettato per il vostro ambiente. I punti seguenti fanno parte del nostro playbook standard per questo settore — lo scope finale è adattato al vostro stack e contratto.
Analisi statica (APK/IPA)
Secret in release, manifesto, chiavi incorporate, offuscamento, jadx/class-dump.
Analisi dinamica (runtime)
Comportamento in esecuzione, SQLite locale, SharedPreferences/UserDefaults, cache, log in logcat/Console.
Comunicazione e certificate pinning
TLS, validazione hostname, downgrade attack, MitM con Burp, bypass con Frida/Objection.
Piattaforma e archiviazione sicura
Keystore/Keychain, biometria, intent injection (Android), URL scheme hijacking (iOS), WebView.
API consumata dall'app
Tutti gli endpoint, IDOR/BOLA, autorizzazione granulare, validazione server-side, rate limit, JWT.
Logica di business
Registrazione/KYC, login/biometria, transazione, recupero password, flussi critici per feature.
Root/jailbreak e anti-tamper
Rilevamento, bypass con Magisk Hide / Liberty Lite / Shadow, integrità del binario.
Stack ibrido (RN/Flutter)
Analisi del bundle JS, bridge nativi, dipendenze terze parti.
/metodologia
Pentest manuale vero
Gli scanner automatici trovano ciò che è documentato. Gli attaccanti veri trovano ciò che non lo è. Il 90% del lavoro è manuale — eseguito da specialisti con OSCP, CISSP, CRTO e GPEN.
01 · Ricognizione
Mapping del target, OSINT, footprint, threat modeling specifico del settore.
02 · Scoperta
Enumerazione approfondita, scansione complementare, identificazione manuale dell'esposizione.
03 · Sfruttamento
Validazione manuale con PoC controllata, concatenamento di finding, escalation.
04 · Report
Esecutivo + tecnico, replica passo-passo, mappato alla regolamentazione applicabile.
/perche-fidarsi
Chi si è già fidato del nostro lavoro
App mobile bancarie, healthtech e fintech regolate da BACEN e ANS. MASVS L2 consegnato in ciclo PCI-DSS 4.0.
Valutazione tecnica riconosciuta in ambienti regolamentati ad alta criticità — il pentest che trova ciò che nessuno aveva trovato prima.
Douglas Lopes
Founder · CEO · intrus.io
/faq
FAQ — Pentest Mobile
Quanto costa un pentest mobile in Brasile?
App Android nativo semplice (1 piattaforma, 3-4 flussi critici): R$ 8-18k. Android + iOS senza regolamentazione: R$ 18-40k. App fintech regolato da BACEN: R$ 60-120k.
Testate React Native e Flutter?
Sì. Stack ibrida ha specificità di bundle JS e bridge nativi. Copriamo il bundle, secret in release, comunicazione JS-nativa e dipendenze.
Serve build firmata o basta APK debug?
Il build di release (firmato) è fortemente raccomandato — il comportamento differisce dal debug. TestFlight, Firebase App Distribution, link interno o MDM aziendale vanno bene.
Il certificate pinning è obbligatorio?
Per app che processano dati sensibili o transazioni finanziarie, sì. È controllo richiesto da PCI-DSS, BACEN e SOC 2.
Il pentest mobile copre anche l'API?
Copre ciò che l'app consuma. Per copertura completa di API con endpoint non-mobile, l'ideale è scope combinato mobile + API.
/contatti
Richiedi un preventivo pentest mobile
Fissa una riunione riservata. Entro 48h inviamo la proposta con scope, tempi e prezzo.