OWASP Mobile Top 10 · MASVS + MSTG

Q: Mobile Top 10 tem a mesma estrutura de Web Top 10?

Similar mas independente. Mobile Top 10 vai de M1 a M10 · Web Top 10 de A01 a A10. Categorias refletem riscos específicos de apps móveis (binary protection, local storage, deep links).

Q: MASVS é certificável como ISO 27001?

Não diretamente. MASVS é framework de verificação. Não há certificação formal. Mas atestação MASVS L1/L2/R é aceita em due diligence e contratos enterprise.

Os M1-M10 em detalhe.

Improper Credential Usage Credenciais hardcoded no app · sem rotação · tokens persistidos em plain text.

Inadequate Supply Chain Security SDKs de terceiros comprometidos · dependências sem verificação.

Insecure Authentication/Authorization Login fraco · session tokens previsíveis · biometria sem fallback seguro.

Insufficient Input/Output Validation Deep links abusados · SQL injection em SQLite local · XSS em WebView.

Insecure Communication Certificate pinning ausente · TLS downgrade · dados sensíveis em HTTP.

Inadequate Privacy Controls PII em logs · permissões excessivas · sem consent layer.

Insufficient Binary Protections Sem obfuscation · root/jailbreak detection ausente · anti-tamper fraco.

Security Misconfiguration Debug habilitado em prod · cleartextTraffic=true · backup includes sensitive.

Insecure Data Storage SQLite sem encryption · SharedPrefs em plain text · keychain sem acesso controlado.

M10

Insufficient Cryptography Algoritmos deprecados (MD5, DES) · IV previsível · seeds fracas em RNG.

MASVS · níveis de verificação.

L1 · Standard

Requisitos básicos pra qualquer app. Não trata dado sensível. Apps de blog, notícias, ferramentas simples. Custo baixo · automatizável.

L2 · Defense-in-depth

Apps de saúde, bancário, governo · trata PII + financeiro. Exige camadas múltiplas. Obrigatório em apps regulados BR (BACEN, ANS).

R · Resilience

Proteção contra reverse engineering + tampering. Apps de pagamento, DRM, MFA. Combina com L2. Anti-debug + root/jailbreak detection + code obfuscation.

MSTG · metodologia de teste.

O Mobile Security Testing Guide documenta como verificar cada requisito MASVS. Cobre iOS, Android e cross-platform (React Native, Flutter). Testes divididos em: static analysis (SAST mobile), dynamic analysis (runtime testing com Frida/Objection), reverse engineering. Combina com ferramentas como MobSF (Mobile Security Framework) pra automação.

Indícia não audita apps mobile diretamente · foco atual é perímetro web. Apps móveis são auditados por parceiros especializados usando MASVS + MSTG · integração via API pra consolidar findings no dashboard único.

Perguntas que estão no ar

Mobile Top 10 · dúvidas.

Mobile Top 10 tem a mesma estrutura de Web Top 10?

Similar mas independente. Mobile Top 10 vai de M1 a M10 · Web Top 10 de A01 a A10. Categorias refletem riscos específicos de apps móveis (binary protection, local storage, deep links).

MASVS é certificável como ISO 27001?

Não diretamente. MASVS é framework de verificação. Não há certificação formal. Mas atestação MASVS L1/L2/R é aceita em due diligence e contratos enterprise.

React Native e Flutter têm os mesmos riscos?

Parcialmente. Cross-platform adiciona: bridge native-JS vulnerável (React Native), bytecode Flutter com decompilação mais simples. MSTG cobre ambos mas recomenda ferramentas específicas por framework.

Preciso obfuscation em apps com dados sensíveis?

Sim, mas não é suficiente. Obfuscation dificulta reverse engineering mas não substitui criptografia e autenticação robustas. MASVS R (resilience) exige combinação.

Como verificar app publicado na loja?

Download do APK/IPA + análise estática com MobSF + dinâmica com Frida em device rooteado/jailbroken. Apps B2B distribuídos fora das lojas são mais fáceis · sideloading direto.

Pentest mobile é caro?

Tipicamente R$ 15-40k pra app de complexidade média (iOS + Android cobertos). Automatizado via MobSF reduz a 10% do custo mas perde cobertura de abuse cases. Híbrido é o padrão.