Attack Readiness

Je mobiele app getest
van device tot backend.

Een Mobile App Security Assessment onderzoekt de volledige keten: hoe data wordt opgeslagen op het apparaat, hoe deze wordt verzonden en waar de risico's in de backend liggen.

Vraag een assessment aan 24/7 Incident Hotline

Wat is een mobile app security assessment?

Mobiele apps opereren in een fundamenteel ander dreigingslandschap dan webapplicaties. Data wordt lokaal opgeslagen, communicatie loopt over netwerken die je niet beheert en gebruikers installeren de app op persoonlijke apparaten. Je hebt inzicht nodig in de volledige keten. Je ontvangt een rapport met client-side en server-side bevindingen, een OWASP MASVS compliance-overzicht en platform-specifieke herstelstappen.

Over deze dienst

Mobile App Security Assessment: van device tot backend

Mobiele apps verwerken vaak dezelfde gevoelige data als webapplicaties maar opereren in een fundamenteel ander dreigingslandschap. Gebruikers installeren ze op persoonlijke apparaten, data wordt lokaal opgeslagen en de communicatie loopt over netwerken die je niet beheert. Een Mobile App Security Assessment onderzoekt je iOS- en Android-app op de volledige keten van risico's.

Het team analyseert zowel de client-side (de app zelf) als de server-side (backend API's). Client-side onderzoek omvat reverse engineering van de app binary, analyse van lokale dataopslag, evaluatie van cryptografische implementaties en controle van anti-tampering maatregelen. Server-side wordt de API-communicatie onderzocht op dezelfde kwetsbaarheden als bij een Web Application Pentest.

Veel mobiele apps leunen op frameworks als React Native, Flutter of Xamarin. Het team heeft ervaring met deze cross-platform frameworks en weet waar de beveiligingsrisico's liggen. Ook native iOS (Swift/Objective-C) en Android (Kotlin/Java) apps worden volledig ondersteund.

Waarom dit belangrijk is

Drie risico's specifiek voor mobiele apps

Gevoelige data onveilig opgeslagen op het apparaat

Tokens, credentials en persoonsgegevens worden regelmatig opgeslagen in SharedPreferences, SQLite-databases of onversleutelde bestanden. Bij verlies of diefstal van het apparaat is die data direct toegankelijk.
Certificate pinning ontbreekt of is omzeilbaar

Zonder certificate pinning kan netwerkverkeer worden onderschept via een man-in-the-middle aanval op een onbetrouwbaar netwerk. Aanvallers kunnen zo API-communicatie inzien en manipuleren.
Hardcoded secrets en onveilige deeplinks

API-sleutels, wachtwoorden en configuratiegegevens hardcoded in de app binary zijn leesbaar via reverse engineering. Onveilig geconfigureerde deeplinks en URL schemes maken de app vatbaar voor takeover-aanvallen.

Wat er getest wordt

Scope van de Mobile App Security Assessment

Lokale dataopslag (Keychain, SharedPreferences, SQLite, bestanden)

Netwerkverkeer en certificate pinning

Authenticatie en sessiebeheer

Autorisatie en API-beveiliging

Reverse engineering en code obfuscation

Cryptografische implementaties

Inter-process communication (deeplinks, intents, URL schemes)

Third-party SDK's en libraries

Runtime manipulatie en anti-tampering

Push notification beveiliging

Werkwijze

Hoe DEFION een Mobile App Security Assessment uitvoert

Scopebepaling

Platform (iOS, Android of beide), versie, testaccounts en backend scope worden vastgesteld.

Statische analyse

Reverse engineering van de app binary, analyse van broncode (indien beschikbaar) en controle van hardcoded secrets en configuraties.

Dynamische analyse

Runtime testing op een fysiek apparaat of emulator, interceptie van netwerkverkeer en manipulatie van app-gedrag.

API-analyse

Testen van backend API's op authenticatie, autorisatie en invoervalidatie.

Rapportage

Rapport met client-side en server-side bevindingen, CVSS-scores en platform-specifieke herstelstappen.

Wat je ontvangt

Deliverables

Executive summary
Technisch rapport met client-side en server-side bevindingen
OWASP MASVS compliance-overzicht
Platform-specifieke herstelstappen (iOS en Android apart)
API-beveiligingsoverzicht
Rapportbespreking

Doelgroep

Voor wie is een Mobile App Security Assessment?

Elke organisatie met een mobiele app die gevoelige data verwerkt heeft baat bij dit assessment. Zeker wanneer de app nieuwe functionaliteit krijgt, een update uitkomt of compliance-eisen gelden.

Organisaties met klantgerichte mobiele apps (banking, healthcare, retail)
Bedrijven die een nieuwe app lanceren of een grote update uitbrengen
Organisaties met apps die persoonsgegevens, financiële data of gezondheidsdata verwerken
Bedrijven die app store compliance moeten aantonen
IoT-fabrikanten met bijbehorende mobiele companion apps

Veelgestelde vragen

FAQ

Testen jullie op echte apparaten of emulators?

Beide. Bepaalde kwetsbaarheden zijn alleen reproduceerbaar op fysieke apparaten (biometric bypass, hardware-backed keystore), terwijl emulators efficiënter zijn voor andere tests. Het team gebruikt de juiste combinatie per testscenario.

Moeten jullie de broncode hebben?

Niet noodzakelijk. Een Black Box assessment op de app binary is mogelijk en realistisch. Toegang tot broncode (White Box) maakt de test diepgaander en efficiënter. Het team adviseert welke aanpak past bij jouw situatie.

Wordt de backend ook getest?

Ja. De app is slechts de helft van het verhaal. De backend API's worden meegenomen in de scope, inclusief authenticatie, autorisatie en datavalidatie.

Hoe lang duurt een Mobile App Security Assessment?

Voor één platform (iOS of Android) doorgaans 5 tot 8 dagen. Voor beide platformen inclusief backend: 8 tot 12 dagen. De exacte doorlooptijd hangt af van de complexiteit van de app.

Wat als we React Native of Flutter gebruiken?

Het team heeft ruime ervaring met cross-platform frameworks. Deze frameworks brengen specifieke beveiligingsrisico's mee (JavaScript bridge exposure bij React Native, Dart reflection bij Flutter) die expliciet worden getest.

Web Application Pentest

Meer informatie →

Code Security Review

Meer informatie →

Cloud Security Assessment

Meer informatie →

External Pentest

Meer informatie →