Посты
Продолжаем цикл постов про разные классы решений в AppSec/DevSecOps. Сегодня говорим про…
3 ноября 2025 г. в 20:06•Max Knyazev is typing…Зеркало Telegram
Продолжаем цикл постов про разные классы решений в AppSec/DevSecOps. Сегодня говорим про MAST 📱
Что такое MAST?
MAST — это Mobile Application Security Testing, или «тестирование безопасности мобильных приложений». По сути, тут та же логика, что у SAST/DAST/IAST, но целиком заточенная под мобильные платформы — iOS и Android. Если SAST смотрит на исходники, а DAST на уже развернутое веб-приложение, то MAST проверяет мобильное приложение в комплексе: и код, и взаимодействие с API, и поведение на устройстве📱
Для чего используется MAST?
Мобильные приложения сегодня — это и кошелек, и паспорт, и банковский счет в одном флаконе. В них хранится гигантское количество персональных данных, платёжных реквизитов и токенов доступа. Поэтому MAST нужен, чтобы проверить, как приложение хранит и шифрует данные на телефоне, а еще найти утечки в логах или через сторонние библиотеки и отловить уязвимости во взаимодействии с сервером (например, неправильную валидацию TLS-сертификата)💀
В отличие от классических тестов, MAST учитывает особенности именно мобильных ОС: доступ к аппаратным ресурсам, права приложений, работу с системным хранилищем и тд
Как это работает?
Обычно MAST объединяет сразу несколько подходов: статический анализ APK/IPA (разбор кода и библиотек), динамический анализ при запуске приложения на устройстве или эмуляторе, плюс интерактивные проверки😎
Простейший пример: берём мобильное банковское приложение, ставим его на тестовый телефон, запускаем MAST и начинаем гонять сценарии. Агент при этом смотрит, куда приложение лезет, как оно хранит данные, как реагирует на изменение окружения (например, если телефон джейлбрейкнут). Если токен доступа вдруг оказался в открытом виде в логах — привет, уязвимость🤩
Как использовать MAST?
MAST обычно запускают либо как отдельный сканер (вы загружаете в него APK или IPA и получаете отчёт), либо интегрируют в QA-процессы и CI/CD. Во втором случае это даёт уверенность, что перед релизом в сторе приложение автоматически проверяется на критические баги безопасности👏
Инструменты для реализации MAST
Здесь тоже есть как опенсорс, так и коммерция🤑
Из бесплатных и популярных можно назвать MobSF, Drozer
Коммерческие решения: AppScan от HCL, NowSecure, Checkmarx MAST, Veracode Mobile. В России — Positive Technologies (в PT AI есть отдельный модуль под мобилки) и Solar appScreener (он тоже умеет анализировать мобильные приложения)👍
MAST — это по сути та же проверка «как у взрослых», но с учётом специфики мобильного софта. И да, мобильные приложения — один из главных фронтов безопасности на ближайшие годы🙂
#информационная_безопасность #mast
Открыть исходный пост в TelegramЧто такое MAST?
MAST — это Mobile Application Security Testing, или «тестирование безопасности мобильных приложений». По сути, тут та же логика, что у SAST/DAST/IAST, но целиком заточенная под мобильные платформы — iOS и Android. Если SAST смотрит на исходники, а DAST на уже развернутое веб-приложение, то MAST проверяет мобильное приложение в комплексе: и код, и взаимодействие с API, и поведение на устройстве
Для чего используется MAST?
Мобильные приложения сегодня — это и кошелек, и паспорт, и банковский счет в одном флаконе. В них хранится гигантское количество персональных данных, платёжных реквизитов и токенов доступа. Поэтому MAST нужен, чтобы проверить, как приложение хранит и шифрует данные на телефоне, а еще найти утечки в логах или через сторонние библиотеки и отловить уязвимости во взаимодействии с сервером (например, неправильную валидацию TLS-сертификата)
В отличие от классических тестов, MAST учитывает особенности именно мобильных ОС: доступ к аппаратным ресурсам, права приложений, работу с системным хранилищем и тд
Как это работает?
Обычно MAST объединяет сразу несколько подходов: статический анализ APK/IPA (разбор кода и библиотек), динамический анализ при запуске приложения на устройстве или эмуляторе, плюс интерактивные проверки
Простейший пример: берём мобильное банковское приложение, ставим его на тестовый телефон, запускаем MAST и начинаем гонять сценарии. Агент при этом смотрит, куда приложение лезет, как оно хранит данные, как реагирует на изменение окружения (например, если телефон джейлбрейкнут). Если токен доступа вдруг оказался в открытом виде в логах — привет, уязвимость
Как использовать MAST?
MAST обычно запускают либо как отдельный сканер (вы загружаете в него APK или IPA и получаете отчёт), либо интегрируют в QA-процессы и CI/CD. Во втором случае это даёт уверенность, что перед релизом в сторе приложение автоматически проверяется на критические баги безопасности
Инструменты для реализации MAST
Здесь тоже есть как опенсорс, так и коммерция
Из бесплатных и популярных можно назвать MobSF, Drozer
Коммерческие решения: AppScan от HCL, NowSecure, Checkmarx MAST, Veracode Mobile. В России — Positive Technologies (в PT AI есть отдельный модуль под мобилки) и Solar appScreener (он тоже умеет анализировать мобильные приложения)
MAST — это по сути та же проверка «как у взрослых», но с учётом специфики мобильного софта. И да, мобильные приложения — один из главных фронтов безопасности на ближайшие годы
#информационная_безопасность #mast