اختبار أمان تطبيقات الجوال

تقييم أمان Android و iOS — عميق، يدوي، شامل

تتعامل تطبيقات الجوال مع بعض أكثر البيانات المؤسسية والشخصية حساسية — بيانات الاعتماد المصرفية، البيانات البيومترية، سجل الموقع، الاتصالات المؤسسية، ومعلومات الدفع. ومع ذلك، يتم تقييم أمان الجوال بشكل روتيني بشكل أقل مقارنة بتطبيقات الويب، مما يخلق نقاطًا عمياء كبيرة في برامج أمن المؤسسات.

تجري بريستين إنفوسوليوشنز الإمارات تقييمات شاملة لأمان تطبيقات الجوال متوافقة مع دليل اختبار أمان الجوال OWASP (MSTG) ومعيار التحقق من أمان تطبيقات الجوال OWASP (MASVS) — تغطي منصتي Android وiOS من خلال مزيج من التحليل الثابت والاختبار الديناميكي وفحص حركة مرور الشبكة والهندسة العكسية.

  • التحليل الثابت (SAST)فك تجميع وتحليل ثنائيات APK/IPA للأسرار المشفرة ومفاتيح API والتشفير غير الآمن والبيانات الحساسة المكشوفة والكود المتساهل واستخدام الوظائف الخطيرة دون تشغيل التطبيق.
  • التحليل الديناميكي (DAST)اختبار وقت التشغيل على أجهزة حقيقية ومحاكيات — اعتراض ومعالجة حركة المرور، اختبار حماية وقت التشغيل (تثبيت SSL، اكتشاف الجذر/كسر الحماية)، تحليل سلوك وقت التشغيل واستخدام الذاكرة.
  • أمان تخزين البيانات المحليتقييم كيفية تخزين التطبيق للبيانات الحساسة محليًا — SharedPreferences وقواعد بيانات SQLite واستخدام Keychain/Keystore وملفات السجل والملفات المؤقتة وتعرض بيانات النسخ الاحتياطي على Android وiOS.
  • أمان اتصالات الشبكةاعتراض وتحليل كامل لجميع حركة مرور الشبكة — التحقق من TLS، اختبار تجاوز تثبيت الشهادة، تعرض مفاتيح API، البيانات الحساسة أثناء النقل، فرض HTTP مقابل HTTPS.
  • المصادقة ومعالجة الجلساتاختبار المصادقة البيومترية، تنفيذات OAuth/OIDC، أمان تخزين الرموز، فرض مهلة الجلسة، اكتمال تسجيل الخروج، والمراجع المباشرة غير الآمنة للكائنات في مكالمات API.
  • مقاومة الهندسة العكسية والتلاعبتقييم مرونة التطبيق في مواجهة الهندسة العكسية والتصحيح الثنائي والأدوات (Frida، Objection) والتلاعب بوقت التشغيل — حاسم للتطبيقات المالية والصحية والتطبيقات المحمية بـ DRM.

📱 نطاق تقييم أمان الجوال

متوافق مع OWASP MSTG / MASVS — Android و iOS

تقييم Android APK (MSTG)✓ نطاق كامل
تقييم iOS IPA (MSTG)✓ نطاق كامل
التحليل الثابت (SAST + فك التجميع)✓ مشمول
التحليل الديناميكي (DAST — أجهزة حقيقية)✓ مشمول
اختبار أمان API الخلفي✓ مشمول
التخزين المحلي وتسرب البيانات✓ مشمول
تحليل حركة مرور الشبكة✓ مشمول
التحقق من MASVS L1 + L2✓ كلا المستويين
مدة التقييم النموذجية5–10 أيام
اطلب تقييم أمان الجوال
📲 المنصات وبيئات الاختبار
  • Android — أجهزة حقيقية + محاكيات (API Level 9+)، مع وبدون جذر
  • iOS — أجهزة حقيقية + محاكيات (iOS 12+)، مكسورة الحماية وأصلية
  • React Native، Flutter، Xamarin، Cordova — اختبار تطبيقات عبر المنصات
  • بناءات إنتاج Play Store وبناءات APK/IPA للتصحيح/التجربة
تغطية OWASP Mobile Top 10

كل فئة مخاطر جوال — مختبرة بالكامل

🔓
M1 — استخدام بيانات الاعتماد غير السليم
بيانات الاعتماد المشفرة ومفاتيح API والأسرار المضمنة في كود التطبيق أو ملفات التكوين. سياسات كلمات المرور الضعيفة وتخزين بيانات الاعتماد في مواقع غير آمنة.
مخاطر حرجة
🔑
M2 — أمان سلسلة التوريد غير الكافي
ثغرات SDK الطرف الثالث، المكونات الضارة أو الضعيفة، خطوط أنابيب البناء غير الآمنة، والبنية التحتية للتوقيع المخترقة في سلسلة توريد الجوال.
مخاطر عالية
🔐
M3 — المصادقة غير الآمنة
تنفيذ بيومتري ضعيف، أقفال PIN/نمط قابلة للتجاوز، وظائف "تذكرني" غير الآمنة، وفرض مصادقة متعددة العوامل غير كافية.
مخاطر حرجة
💾
M4 — التحقق غير الكافي من المدخلات/المخرجات
ثغرات الحقن من خلال قنوات إدخال الجوال، XSS في WebViews، اجتياز المسار، وفشل ترميز المخرجات المؤدي لتعرض البيانات.
مخاطر عالية
📡
M5 — الاتصال غير الآمن
النقل بنص واضح، التحقق غير السليم من TLS، ثغرات تجاوز تثبيت الشهادة، وتعرض البيانات الحساسة في اعتراض حركة مرور الشبكة.
مخاطر حرجة
🗄️
M6 — ضوابط الخصوصية غير الكافية
الإفراط في جمع البيانات الشخصية، الأذونات غير الضرورية، تعرض PII في السجلات، تسرب بيانات التحليلات، وممارسات الاحتفاظ بالبيانات غير المتوافقة.
مخاطر الامتثال
🛡️
M7 — حماية ثنائية غير كافية
تشويش كود مفقود، مقاومة تلاعب غائبة، بناءات قابلة للتصحيح في الإنتاج، منطق تطبيق يمكن عكسه بسهولة، واكتشاف جذر/كسر حماية ضعيف.
مخاطر متوسطة
⚙️
M8 — التكوين الأمني الخاطئ
أذونات تطبيق غير آمنة، وضع التصحيح مفعل، النسخ الاحتياطي مفعل للبيانات الحساسة، تكوين Firebase/السحابة غير الآمن، وإساءة استخدام ContentProvider.
مخاطر عالية
📦
M9 — تخزين البيانات غير الآمن
البيانات الحساسة في SharedPreferences وSQLite وسجلات التطبيق والحافظة أو ملفات النسخ الاحتياطي. إساءة استخدام iOS Keychain وقواعد البيانات المحلية غير المشفرة وتعرض الذاكرة المؤقتة.
مخاطر حرجة
أدوات اختبار الجوال

أدوات أمان جوال بمستوى احترافي

📱 MobSF (ثابت/ديناميكي)📱 Frida Framework📱 Objection📱 apktool / jadx📱 Ghidra📱 Drozer (Android)📱 Burp Suite Mobile📱 Cycript (iOS)📱 Needle (iOS)📱 Charles Proxy📱 Semgrep (SAST)📱 ADB (Android Debug Bridge)
تصنيف الشدة

كيف نقيّم كل نتيجة

يتم تقييم جميع النتائج باستخدام CVSS v3.1 ورسمها مع تأثير الأعمال لمساعدة فريقك على تحديد أولويات المعالجة بفعالية.

حرج
CVSS 9.0–10. معالجة فورية مطلوبة. خطر اختراق بيانات مباشر.
عالي
CVSS 7.0–8.9. المعالجة خلال 7 أيام. تعرض أمني كبير.
متوسط
CVSS 4.0–6.9. المعالجة خلال 30 يومًا. مخاطر معتدلة.
منخفض / معلوماتي
CVSS 0.1–3.9. تحسين أفضل الممارسات. قابلية استغلال منخفضة.

ابدأ تقييمك الأمني اليوم

تحدث مع مهندس أمان من بريستين حول متطلبات اختبار التطبيقات أو الجوال أو الاختراق. نحدد نطاق كل مشاركة وفقًا لبيئتك المحددة وملف المخاطر والتزامات الامتثال — مع تقديم عرض خلال 24 ساعة.

🔍 اطلب تقييمًا أمنيًا 📞 +971 509341410💬 تواصل عبر واتساب

حاصلة على ISO 27001 · عضو NASSCOM · متوافقة مع UAE NESA · منهجية OWASP / PTES · إعادة اختبار مجانية مشمولة