Top 5 banka mobil bankacılık · OWASP MASVS L2 pentest · 7 kritik bulgu · BDDK uyum
Türkiye'nin top 5 bankalarından biri DSET'ten authorized mobil bankacılık pentest istedi. Hedef: iOS+Android jailbreak/root detection bypass, MitM, cert pinning, secure storage. DSET MASVS L2 tam prosedür ile 7 kritik bulgu tespit etti, banka düzeltti, BDDK denetimi geçti, 3 yıllık stratejik partnership başladı.
01 Karşılaşılan Durum
Top 5 banka mobil bankacılık uygulaması, 8M aktif kullanıcı. BDDK 'mobil bankacılık güvenliği' denetim öncesi proaktif pentest. DSET'ten MASVS L2 tam prosedür talep edildi: 27 control kategorisi, jailbreak detection bypass, cert pinning, secure storage, screen recording protection. Banka iç ekibinin önceki test 'yetersiz' kalmıştı.
02 DSET'in Yaklaşımı
T+0 · Lab kurulumu
iOS 17 jailbreak (palera1n) + Android 14 root (Magisk + Zygisk). Frida server, Objection, r2frida, mitmproxy + cert pinning bypass scripts hazırlandı.
T+1-10 gün · MASVS L2 27 kategori
27 control kategorisi sırayla test edildi: V1 (Architecture), V2 (Data Storage), V3 (Crypto), V4 (Auth), V5 (Network), V6 (Platform), V7 (Code), V8 (Resilience). 7 kritik + 12 yüksek + 18 orta bulgu.
T+10 gün · PoC + impact
Bypass #1: jailbreak detection 4 satır Frida hook ile geçildi. #2: cert pinning fixed key MitM. #3: SQLite local DB AES key uygulamada sabit. Detaylı PoC video + impact demo hazırlandı.