Техническое задание: Аудит безопасности Android-приложения

Цель проекта - проведение комплексного экспертного анализа защищённости нативного Android-приложения для выявления актуальных угроз и разработки архитектурных и имплементационных контрмер.

Ключевые направления аудита

1. Анализ устойчивости к статическому анализу

• Оценка эффективности обфускации бизнес-логики и критического кода.
• Анализ защиты критических констант, строк и ключей.
• Проверка механизмов обеспечения целостности исходного кода и ресурсов приложения.

2. Динамический анализ и противодействие отладке

• Тестирование механизмов детектирования и противодействия запуску в отладочном режиме.
• Проверка защиты от анализа на эмуляторах и скомпрометированных устройствах (root/jailbreak).
• Оценка стойкости runtime-защиты.

3. Аудит клиент-серверного взаимодействия

• Исследование реализации защищённого канала связи (TLS/SSL).
• Анализ криптографической стойкости алгоритмов подписи и верификации запросов.
• Проверка механизмов аутентификации, авторизации и защиты от повторного использования запросов.

4. Оценка рисков автоматизации

• Анализ возможности выделения бизнес-логики для создания автоматизированных клиентов (ботов).
• Оценка устойчивости ключевых API-эндпоинтов к скраппингу и автоматизированным запросам.

Требования к исполнителю

• Подтверждённый практический опыт в области безопасности мобильных приложений (Android).
• Глубокое понимание современных методов реверс-инжиниринга (статический/динамический анализ) и способов противодействия им.
• Способность не только выявлять уязвимости, но и формулировать конкретные технические требования и рекомендации для разработчиков по их устранению.
• Ожидается предоставление детального отчёта с классификацией рисков и пошаговыми рекомендациями.