GOATX
voltar para roadmap
MOBILE

Pentest Mobile — por onde começar

Caminho menos lotado, ótimas oportunidades. Comece por Android (mais aberto). iOS é mais fechado e requer Mac/jailbreak.

pré-requisitos

  • Pentest Web básico (boa parte das falhas são na API que o app consome)
  • Java ou Kotlin básico (Android) — Swift se for iOS
  • Linux e linha de comando

labs para praticar

trilha passo a passo

  1. 1

    1. Anatomia de um APK

    Entenda o que é um APK, como ele é montado (AndroidManifest, classes.dex, resources, libs nativas) e o ciclo de vida das Activities.

    Android Developers
  2. 2

    2. Setup do laboratório

    Instale Android Studio + emulador, ou use um device físico com root. Ferramentas: adb, jadx, apktool, frida, objection, mitmproxy.

    MobSF
  3. 3

    3. Análise estática

    Decompile com jadx-gui e procure: strings hardcoded (chaves API), URLs de backend, Firebase open, deeplinks expostos, exported activities/services/receivers, permissions excessivas.

  4. 4

    4. Análise dinâmica e MitM

    Configure proxy (Burp/mitmproxy) com certificado instalado. Bypass de SSL pinning com Frida ou objection. Intercepte e modifique a API consumida pelo app.

    Frida Objection
  5. 5

    5. OWASP MASVS / MASTG

    Standard oficial para teste mobile. MASTG tem checklist e técnicas específicas Android e iOS.

    OWASP MASTG OWASP Mobile Top 10
  6. 6

    6. Falhas mais comuns

    Insecure storage (shared preferences sem cripto), tráfego HTTP, certificado pinning ausente, intent injection, WebView com JS bridge perigoso, root/jailbreak detection bypass.

  7. 7

    7. Backend / API mobile

    Lembre: 70% das falhas mobile estão na API. Aplique tudo que aprendeu de web aqui (IDOR, broken auth, mass assignment).

dicas de quem já passou pela trilha

  • Sempre teste com app desempacotado E reempacotado — algumas defesas ativam só na assinatura release.
  • Antes de partir pra Frida, confira o óbvio: strings.xml, AndroidManifest.xml e classes.dex em jadx. 50% dos achados vêm daí.
  • Configure mitmproxy + frida-multiple-unpinning ao invés de Burp+objection — funciona em apps modernos onde objection trava.
  • Apps com 'segurança bancária' (Trusteer, Promon, AppDome) bloqueiam debug — comece por apps sem SDK de proteção pra aprender.
  • Foque na API consumida pelo app — 70% dos relatórios pagos em mobile são na verdade falhas de backend.
  • iOS sem jailbreak: use Frida via USB com app reassinado pelo seu Apple ID via AltStore/Sideloadly.

ferramentas essenciais

jadx-gui

Decompila APK pra Java legível

Frida

Hooking dinâmico em runtime

Objection

Frida wrapper — bypass SSL pin sem código

MobSF

Análise estática+dinâmica automatizada

apktool

Decompila/recompila APK preservando recursos

Drozer

Framework de exploitation Android (IPC, providers)

livros recomendados

  • Android Hacker's Handbook
  • iOS Application Security (Thiel)
  • Mobile Application Hacker's Handbook