Mobiele App Pentest

Wat is een mobiele app pentest?

Een mobiele app pentest is een beveiligingsonderzoek van uw iOS- en/of Android-applicatie. Wij analyseren de volledige aanvalsketen: van de binary op het apparaat tot de communicatie met de backend-API en de server-side logica. Mobiele apps slaan vaak gevoelige data lokaal op, communiceren met meerdere backend-services en verwerken authenticatiegegevens - elk onderdeel kan kwetsbaar zijn.

Wij combineren statische analyse (decompilatie, broncode-review) met dynamische analyse (runtime hooking, traffic interceptie). Met Frida hooken wij security-kritieke functies, met Objection bypassen wij root-detectie en certificate pinning, met Jadx decompileren wij de APK. Wij begrijpen hoe mobiele apps in elkaar zitten - van native tot Flutter en React Native.

iOS versus Android

• Android: makkelijker te decompileren (APK naar Java/Kotlin), root-detectie vaak te bypassen, lokale opslag (SharedPreferences, SQLite) regelmatig onversleuteld.
• iOS: strikter sandboxing maar kwetsbaar voor jailbreak-bypass, Keychain-misconfiguraties, onveilig gebruik van URL schemes en universal links.

Waarom een mobiele app pentest laten uitvoeren?

Gebruikers vertrouwen mobiele apps met gevoelige acties: bankieren, medische data, bedrijfssystemen. De risico's:

• Onveilige lokale opslag: credentials of tokens die onversleuteld op het apparaat staan.
• Ontbrekende certificate pinning: man-in-the-middle aanvallen mogelijk.
• Reverse engineering: een aanvaller decompileert uw app en vindt hardcoded API keys of backend-URLs.
• Authenticatie-bypass: zwakke biometrische implementatie, session management of token handling.
• Business logic-flaws: via de app prijzen manipuleren of aankopen omzeilen.

Onze aanpak

Wij volgen de OWASP MASVS en MSTG, maar gaan verder dan de checklist. Bevindingen delen wij direct met u:

• Static analysis - decompilatie, broncode-review op hardcoded secrets, onveilige API-calls, zwakke cryptografie, debug-functies in productie.
• Dynamic analysis - runtime analyse met Frida: hooking, root/jailbreak-bypass, certificate pinning bypass.
• Netwerkcommunicatie - traffic interceptie met Burp Suite: TLS-configuratie, API-authenticatie, data in transit.
• Lokale opslag - databases, Keychain/Keystore, SharedPreferences, cachedata op gevoelige informatie.
• Authenticatie & sessie - biometrische bypass, token handling, session fixation, account enumeration.
• Backend API - de app is slechts een frontend. De echte kwetsbaarheden zitten vaak in de API. Wij testen die mee.
• Rapportage - rapport conform MASVS met reproduceerstappen per platform. Hertest op aanvraag.

Wat kost een mobiele app pentest?

Ons uurtarief is €175 per uur. Indicaties:

• Eén platform (iOS of Android) inclusief backend-API: €8.000 - €18.000
• Beide platformen inclusief backend-API: €14.000 - €28.000

De kosten hangen af van complexiteit, authenticatiemethoden en of de backend-API wordt meegenomen. Vaste offerte na een scopingsgesprek - met de pentester die de test gaat doen.