Saltar a contenido

Perfiles de análisis móvil

Ostorlab ofrece diferentes perfiles de análisis móvil para satisfacer diversas necesidades de pruebas de seguridad para aplicaciones Android e iOS. Estos perfiles varían significativamente en su profundidad, enfoque y en las técnicas de análisis empleadas.

Escaneo completo

Un análisis en profundidad de los binarios móviles y su interacción con los servicios backend (Estático + Dinámico + Backend).

Características principales

  • Análisis estático (SAST) del código y los activos de la aplicación.
  • Criptografía insegura y detección de secretos codificados (hardcoded).
  • Patrones de programación inseguros y auditoría del uso de API sensibles.
  • Análisis dinámico del comportamiento de la aplicación en tiempo de ejecución.
  • Fuzzing de API de backend y análisis de seguridad de las comunicaciones.

Escaneo rápido

Un perfil de análisis estático rápido y ligero, optimizado para obtener retroalimentación rápida durante los ciclos de desarrollo.

Características principales

  • Identificación rápida de errores de configuración comunes.
  • Detección de claves API, tokens y secretos codificados.
  • Análisis de patrones de programación vulnerables en código fuente/bytecode.
  • Software Composition Analysis (SCA) rápido para SDK de terceros.

Mobile Deep Agentic Scan

Evaluación autónoma impulsada por IA que descubre vulnerabilidades complejas dentro de la lógica de la aplicación móvil.

Características principales

  • Encadenamiento de fallos locales de la aplicación con vulnerabilidades del backend.
  • Identificación automatizada de rutas de ataque sofisticadas.
  • Validación de hallazgos a través de exploits de Proof-of-Concept en tiempo de ejecución.
  • Navegación asistida por IA de flujos de trabajo de aplicaciones complejos.

Evaluación de vulnerabilidad única móvil

Validación específica de riesgos de seguridad y vulnerabilidades enfocados en móviles.

Características principales

  • Validación específica de vulnerabilidades móviles reportadas.
  • Confirmación de fallos explotables (ej., secuestro de Deep Link, IPC inseguro).
  • Verificación de impacto detallada para hallazgos de riesgos específicos.

Mobile Shielding Scan

Una evaluación especializada centrada en la eficacia del endurecimiento (hardening) de la aplicación y las medidas antimanipulación (anti-tampering).

Características principales

  • Calidad de ofuscación y análisis de cobertura.
  • Antimanipulación (Anti-tampering) y eficacia de la comprobación de integridad.
  • Antidepuración (Anti-debugging) y validación de la detección de root/jailbreak.
  • Análisis de la protección del código y los mecanismos de blindaje del entorno.

Escaneo de privacidad

Un análisis centrado en el cumplimiento que identifica riesgos de privacidad y exfiltración de datos no autorizada.

Características principales

  • Detección de PII (Personally Identifiable Information) expuesta.
  • Análisis de los flujos de datos a rastreadores y SDK de terceros.
  • Auditoría de cifrado inadecuado para datos en reposo (data-at-rest) y en tránsito (in-transit).
  • Verificación del uso de permisos frente al cumplimiento de la política de privacidad.