Escopo
O que avaliamos no cliente mobile
Profundidade manual; o detalhe varia com o modelo de ameaça e com o acordo de engajamento.
O app mobile é cliente de API, mas o backend é quem aplica a regra de negócio definitiva: falhas de autorização ou consistência quase sempre aparecem nos dois lados. Por isso o escopo deixa explícito o que será testado só no binário, só no servidor ou nos dois, para não confundir hardening de app com correção de endpoint inseguro.
No dispositivo, olhamos armazenamento de tokens, cache, logs e dados sensíveis em disco; proteções de jailbreak/root e engenharia reversa do pacote quando faz sentido ao risco. Na comunicação com o servidor, validamos pinning, TLS, certificados e vazamento de informação em tráfego e erros.
A sessão e a autenticação no app precisam ser coerentes com a API: refresh, revogação e troca de dispositivo são pontos comuns de falha. Quando o escopo cobre API, o trabalho se articula com o que descrevemos em pentest em APIs.
O pentest geral da byBnD já inclui mobile como uma das superfícies; esta página existe para quem busca intenção explícita de teste em iOS/Android. Depois do relatório, a rota natural é remediação após pentest e, se necessário, desenvolvimento especializado para ajustes de código e integração.
Contexto
Apps financeiros e regulados
Aplicativos transacionais costumam operar sob exigência alta de integridade e fraude. Veja setores regulados e cibersegurança no mercado financeiro. Para leitura de negócio antes do teste, consultoria especializada.