AppSec / Security Auditor (Mobile, Crypto) — iOS/Android

Проект: Некастодиальный мобильный крипто-кошелёк для iOS и Android.
Стадия: pre-launch / активная подготовка к релизу.
Цель: найти и закрыть уязвимости, которые могут привести к компрометации seed phrase / приватных ключей, подмене транзакций или утечке чувствительных данных.

Что важно о продукте

• Seed/ключи не собираем и не храним на серверах.

• Хранение на устройстве: Secure Enclave (iOS) / StrongBox (Android).

• Нет crash-репортинга, нет поведенческой аналитики, нет фоновых запросов к серверам.

Задачи (Scope аудита)

1. Seed / private keys

• Проверка генерации/импорта/показа seed, хранения и жизненного цикла данных.

• Поиск утечек через: память, логи, скриншоты/запись экрана, app switcher preview, clipboard, accessibility, бэкапы iOS/Android.

• Проверка корректности использования Secure Enclave/Keychain и Android Keystore/StrongBox (hardware-backed).

2. Подпись транзакций и анти-фишинг

• Проверка, что пользователь подписывает “то, что видит” (без подмены параметров).

• Проверка deeplink’ов/интентов, защит от подмены адресов, clipboard hijacking и т.п.

3. Network / API

• MITM/SSL-pinning, безопасность сетевого слоя, утечки чувствительных данных.

4. Reverse engineering / tampering

• Устойчивость к runtime hooking (Frida и т.д.), патчингу, root/jailbreak сценариям.

• Рекомендации по hardening: obfuscation, anti-tamper, runtime checks (в пределах разумного, без “магии”).

5. Supply chain

• Аудит зависимостей (SCA), проверка секретов в репозитории/CI, рискованных библиотек/конфигов.

Ожидаемые результаты (Deliverables)

• Threat model (коротко: что защищаем, от кого, что вне зоны — напр. скомпрометированное устройство).

• Отчёт по уязвимостям: severity (Critical/High/Med/Low), impact, чёткие шаги воспроизведения, PoC (где уместно), конкретные рекомендации по фиксу.

• Mapping на OWASP MASVS/MASTG (что соответствует/не соответствует).

• Ретест после фиксов + финальный статус.

Требования к кандидату

• Практический опыт mobile app security (iOS и Android), включая reverse engineering.

• Уверенная работа с инструментами: Frida/Objection, прокси, статический/динамический анализ.

• Понимание Secure Enclave/Keychain и Android Keystore/StrongBox, типовых ошибок при хранении секретов.

• Опыт аудита крипто-приложений / кошельков / подписи транзакций (или других high-risk приложений).

• Умение писать отчёты “для фикса”, а не “для галочки”.

Плюсом будет:

• Публичные кейсы/репорты, bug bounty, CVE, выступления.

• Опыт аудита React Native.

Условия

• Формат: удалённо, проектная работа (аудит + ретест).

• Оплата: по договорённости (фикс за аудит + фикс за ретест, либо почасово с лимитом).

• NDA, тестовые сборки и доступ к репозиторию предоставим.

Как откликнуться

В отклике пришлите:

Коротко: какие мобильные аудиты делали (iOS/Android, crypto/high-risk).

Примеры 1–2 отчётов (можно с замазанными данными) или ссылки на публичные работы.

Ваш подход: как проводите аудит seed/keys + как делаете ретест.

Оценку сроков и стоимости (вилка).