Ücretsiz Teklif Alın

Sepetinizde ürün bulunmuyor.

Mobil Uygulama Sızma Testi (iOS/Android)

Pentest Hizmeti > Mobil Uygulama Sızma Testi (iOS/Android)

Mobil Uygulama
Sızma Testi Hizmeti

iOS ve Android uygulamalarınızın kaynak kodlarını, API iletişimlerini ve veri depolama güvenliğini OWASP Mobile Top 10 standartlarında test ediyoruz.

Hemen Teklif Al
🛡️ Güvenli & Gizli
🔓

Sistem Taranıyor...

[!] Root Detection: Bypassed
[!] SSL Pinning: Disabled
[!] User Data: Decrypted

Çift Platformlu Derinlemesine Analiz

Her işletim sisteminin mimarisi farklıdır. Uzmanlarımız native (Swift/Kotlin) ve hibrit (React Native/Flutter) uygulamaların güvenliğini platforma özel yöntemlerle test eder.

🤖

Android Sızma Testi

APK dosyalarının tersine mühendislik ile açılması (Decompiling) ve kod analizi.

  • AndroidManifest.xml analizi (İzinler)
  • Smali/Java kaynak kod incelemesi
  • ✓ Root tespiti bypass denemeleri
  • ✓ Diğer uygulamalara veri sızıntısı (Intent Sniffing)
🍎

iOS Sızma Testi

Jailbreak yapılmış cihazlar üzerinde IPA analizi ve çalışma zamanı (Runtime) manipülasyonu.

  • IPA şifrelemesinin çözülmesi
  • Keychain (Parola Kasası) veri dökümü
  • ✓ Jailbreak tespiti bypass denemeleri
  • ✓ TouchID/FaceID biyometrik bypass

Neleri Test Ediyoruz? (OWASP Mobile)

M1
Improper Platform Usage

Platform özelliklerinin (TouchID, Intent, Keychain) yanlış kullanımı.

M2
Insecure Data Storage

Telefonda şifresiz veri (SQLite, Loglar, XML) saklanması.

M3
Insecure Communication

Sunucu ile haberleşirken (API) SSL/TLS hataları ve sertifika sorunları.

M4
Insecure Authentication

Oturum yönetimi zafiyetleri ve zayıf parola politikaları.

M5
Insufficient Cryptography

Uygulama içinde zayıf şifreleme algoritmaları veya hardcoded anahtarlar kullanımı.

M7
Client Code Quality

Tampon taşması (Buffer Overflow) gibi kod seviyesindeki hatalar.

Kullandığımız Mobil Analiz Araçları

Sektör standardı dinamik ve statik analiz (SAST/DAST) araçları.

Frida Objection MobSF Burp Suite Mobile Drozer Qark Jadx Wireshark

API ve SSL Pinning Güvenliği

Mobil uygulamalar buzdağının görünen kısmıdır. Asıl saldırı yüzeyi, uygulamanın konuştuğu API sunucularıdır.

Testlerimizde SSL Pinning (Certificate Pinning) korumasını aşarak, uygulamanın sunucuyla yaptığı trafiği (Request/Response) yakalar ve manipüle ederiz. Bu sayede sunucu tarafındaki açıkları da tespit ederiz.

  • ✓ API Key sızıntılarının tespiti
  • ✓ Yetkisiz API çağrıları (IDOR)
  • ✓ Man-in-the-Middle (MitM) saldırı simülasyonu

🕵️ Tersine Mühendislik (Reverse Engineering)

Saldırganlar uygulamanızı indirip kaynak kodlarına çevirebilir. Kaynak kodlarınızda unuttuğunuz API anahtarlarını, veritabanı şifrelerini veya özel algoritmaları tespit etmek için uygulamanızı parçalarına ayırıyoruz.

// Hardcoded Secret Found!
String apiKey = "AIzaSyD-XZy..."; [RISK]

Mobil Pentest Hakkında SSS

Kaynak kodları vermemiz gerekiyor mu?
Şart değil. "Black Box" testlerde sadece APK veya IPA dosyasını iletmeniz yeterlidir. Ancak en kapsamlı güvenlik için kaynak kod destekli "White Box" testi önerilir.
Test için canlı (Production) ortam mı kullanılır?
Mobil uygulamalarda genellikle bir test ortamı (UAT/Staging) API'si sağlanması önerilir. Böylece gerçek kullanıcı verilerine zarar vermeden agresif testler yapılabilir.
Store (App Store/Play Store) onayı için gerekli mi?
Google ve Apple, güvenli olmayan uygulamaları reddetme hakkına sahiptir. Pentest raporu, uygulamanızın market standartlarına uygun olduğunu kanıtlamanıza yardımcı olur.

Uygulamanız Markete Girmeden Önce

Kullanıcı verilerini ve marka itibarınızı koruyun. Mobil uygulamanızın güvenlik röntgenini çekelim.

Ücretsiz Ön Analiz İste
Size nasıl yardımcı olabiliriz?
WhatsApp Destek Bizi Arayın
E-posta Gönderin