Техническое задание: Аудит безопасности Android-приложения
Цель проекта - проведение комплексного экспертного анализа защищённости нативного Android-приложения для выявления актуальных угроз и разработки архитектурных и имплементационных контрмер.
Ключевые направления аудита
1. Анализ устойчивости к статическому анализу
- Оценка эффективности обфускации бизнес-логики и критического кода.
- Анализ защиты критических констант, строк и ключей.
- Проверка механизмов обеспечения целостности исходного кода и ресурсов приложения.
2. Динамический анализ и противодействие отладке
- Тестирование механизмов детектирования и противодействия запуску в отладочном режиме.
- Проверка защиты от анализа на эмуляторах и скомпрометированных устройствах (root/jailbreak).
- Оценка стойкости runtime-защиты.
3. Аудит клиент-серверного взаимодействия
- Исследование реализации защищённого канала связи (TLS/SSL).
- Анализ криптографической стойкости алгоритмов подписи и верификации запросов.
- Проверка механизмов аутентификации, авторизации и защиты от повторного использования запросов.
4. Оценка рисков автоматизации
- Анализ возможности выделения бизнес-логики для создания автоматизированных клиентов (ботов).
- Оценка устойчивости ключевых API-эндпоинтов к скраппингу и автоматизированным запросам.
Требования к исполнителю
- Подтверждённый практический опыт в области безопасности мобильных приложений (Android).
- Глубокое понимание современных методов реверс-инжиниринга (статический/динамический анализ) и способов противодействия им.
- Способность не только выявлять уязвимости, но и формулировать конкретные технические требования и рекомендации для разработчиков по их устранению.
- Ожидается предоставление детального отчёта с классификацией рисков и пошаговыми рекомендациями.