Mais de 70% das transações financeiras digitais no Brasil ocorrem via aplicativo mobile. Esses apps armazenam tokens de autenticação, processam pagamentos, acessam dados pessoais sensíveis e se comunicam com APIs críticas de negócio. E ainda assim, a maioria das empresas investe proporcionalmente menos em segurança mobile do que em web ou infraestrutura.
Por que apps mobile são alvos atrativos
Um aplicativo mobile distribuído pela App Store ou Play Store entrega código diretamente para o dispositivo do usuário — incluindo atacantes. Diferente de uma aplicação web onde o código fica no servidor, o APK ou IPA pode ser baixado, descompilado e analisado por qualquer pessoa. Isso significa que segredos hardcoded, lógica de negócio e mecanismos de proteção podem ser estudados com calma por um atacante.
OWASP Mobile Top 10: os riscos mais prevalentes
Armazenamento inseguro de dados: Dados sensíveis armazenados em SharedPreferences, SQLite sem criptografia, arquivos no cache ou logs. Em dispositivos comprometidos ou com backup habilitado, esses dados ficam expostos.
Comunicação insegura: Certificados SSL/TLS mal validados, SSL pinning ausente ou bypassável, comunicação HTTP em algum endpoint específico. Um atacante com acesso à rede pode interceptar todo o tráfego.
Autenticação e sessão inseguras: Tokens de sessão com vida útil excessiva, ausência de re-autenticação para operações sensíveis, armazenamento de credenciais no dispositivo.
SSL Pinning: proteção e bypass
SSL Pinning é uma técnica que faz o app aceitar apenas certificados específicos, impedindo interceptação de tráfego com proxies como Burp Suite. É uma defesa importante — mas não intransponível. Em nossos engajamentos de Mobile Pentest, utilizamos Frida para instrumentação dinâmica do app em tempo de execução, permitindo bypass de SSL pinning mesmo em implementações robustas.
Análise estática e dinâmica
Análise estática: Descompilação do APK/IPA, análise do código-fonte reconstituído em busca de segredos hardcoded, lógica de autenticação insegura, configurações de manifest problemáticas e uso de bibliotecas vulneráveis.
Análise dinâmica: Execução do app em dispositivo real ou emulador instrumentado com Frida, interceptação de tráfego de rede, análise de armazenamento em tempo de execução e teste de todos os fluxos funcionais do aplicativo.
