Martin Hořický
Partner • Digital Services
Penetrační testování mobilních aplikací je pokročilá bezpečnostní služba zaměřená na odhalení zranitelností specifických pro prostředí mobilních operačních systémů (např. Android, iOS).
Testování simuluje reálné útoky s cílem prověřit, zda aplikace nepodléhá rizikům, jako je neoprávněný přístup k citlivým datům, manipulace s lokálním úložištěm, obejití autentizačních mechanismů nebo zneužití nechráněných API rozhraní.
Pro regulované subjekty, zejména ve finančním sektoru, je toto testování nedílnou součástí plnění požadavků evropských regulací, jako je DORA nebo NIS2, které kladou důraz na pravidelnou identifikaci a řízení kybernetických rizik v celém životním cyklu aplikací.
Proč testovat mobilní aplikace?
Pouhé statické zabezpečení nestačí, odolnost aplikací je nutné ověřovat i prostřednictvím řízených útoků v realistických podmínkách.
| Přínos | Popis |
| Simulace reálných útoků | Ověření odolnosti vůči zranitelnostem, jako je nezabezpečené datové úložiště či možnosti vkládání vlastního kódu. |
| Ověření aplikační bezpečnosti | Testování autentizace, šifrování dat v úložišti, řízení přístupů k API a ochrany vůči reverznímu inženýrství. |
| Detekce konfiguračních chyb | Analýza oprávnění aplikace, špatně nakonfigurovaných komponent nebo expozice citlivých dat. |
| Prověření logiky aplikace a interakcí s backendem | Identifikace nedostatků v kontrolách vstupů, obchodních pravidlech nebo validaci na straně klienta. |
| Identifikace lidského faktoru | Slabá hesla v administraci, neuzamčené testovací účty apod. |
Jaké jsou požadavky na testovací týmy?
DORA zdůrazňuje, že penetrační testy aplikací musí být prováděny kvalifikovanými a nezávislými odborníky se zkušenostmi v oblasti aplikační bezpečnosti:
- Pokročilá znalost mobilních operačních systémů (Android, iOS) a jejich bezpečnostních modelů.
- Zkušenost s nástroji pro analýzu mobilních aplikací (Burp Suite).
- Schopnost simulovat reálné scénáře útoků, jako je reverse engineering, bypass autentizace, neautorizovaný přístup k úložišti nebo zneužití API.
- Zkušenost s forenzními výstupy a reportováním incidentů a nálezů v souladu s požadavky regulatorních rámců.
- Nezávislost testovacího týmu na vývojovém týmu, provozním IT oddělení a dodavatelích infrastruktury.
Jaké požadavky stanovuje DORA v souvislosti s penetračním testováním mobilních aplikací?
Podle rámce DORA spadá testování mobilních aplikací pod tzv. „basic testing“, tedy povinné rutinní ověřování bezpečnosti systémů podporujících důležité obchodní funkce.
Mezi požadavky patří:
01
Pravidelné testování nejméně 1× ročně, případně před každým nasazením nové hlavní verze.
02
Dokumentace nálezů a návrh nápravných opatření včetně jejich následného ověření (retest) a schválení bezpečnostním vedením.
03
Zahrnutí třetích stran, pokud se podílejí na vývoji, správě nebo provozu aplikace (např. outsourcing vývoje, cloudové hostování).
Jak testování probíhá v praxi?
Stanovení rozsahu testu
Definice cílové mobilní aplikace, typů funkcionalit, přístupových rozhraní (např. frontend, REST API) a typů testů (autentizovaný / neautentizovaný, black / grey / white box přístup).
Příprava technického scénáře
Výběr vhodných nástrojů a technik na základě použité technologie a typu aplikace.
Realizace simulovaných útoků
Testování z pohledu útočníka (reverse engineering, testování šifrování a úložiště, zachytávání provozu, manipulace s API nebo obcházení biometrické autentizace).
Zaznamenání a analýza výsledků
Vyhodnocení zjištěných zranitelností podle závažnosti, pravděpodobnosti zneužití a souladu s OWASP MASVS / MSTG. Prioritizace nálezů dle CVSS nebo OWASP Mobile Risk Rating.
Reporting a doporučení
Vypracování technické zprávy s detailním popisem útoků, dopady a doporučeními, doplněná manažerským shrnutím pro vedení.
Follow-up
Konzultace nad výsledky, doporučení ke změnám v kódu nebo architektuře, případný retest po implementaci nápravných opatření.
Proč spolupracovat s BDO?
BDO poskytuje penetrační testy mobilních aplikací jako součást ucelené bezpečnostní strategie. Pomáháme organizacím odhalit a opravit technické slabiny dříve, než je zneužijí reální útočníci. Využíváme kombinaci manuálních testů, skriptované automatizace a znalosti reálných útokových technik.
01 Znalost regulatorního rámce
Rozumíme požadavkům DORA i NIS2 a umíme testy přizpůsobit tak, aby výstupy byly využitelné při dohledu i auditu. Pomáháme nastavit testovací strategii a zajišťujeme její soulady s ostatními typy testování (TLPT, penetrační testy).
02 Nezávislost a důvěryhodnost
Jako nezávislá poradenská firma nemáme vlastní technologie a nabízíme skutečně objektivní hodnocení. Spolupráce s BDO je pro regulátory i klienty jasným signálem kvality a důvěry.
03 Certifikovaný tým s expertní praxí
Naši specialisté vlastní certifikace OSCP, CRTP, eCPPT, BSCP, CEH, CRT, CPSA, CISSP, CCISO a další. Mají zkušenosti s testováním velkých bank, pojišťoven i ICT poskytovatelů.
