Quanto dovrei preoccuparmi della versione iOS / Android durante il pentesting di app per dispositivi mobili?

Dipende in gran parte, ma ci sono state alcune significative modifiche API tra 2.1 e 4.2 che possono cambiare il modo in cui determinate operazioni funzionano sul dispositivo.

Se stai guardando qualcosa come un'app musicale o un gioco, è probabile che tu trovi delle vulnerabilità nel codice operativo (gestione delle credenziali, roba di rete, buffer, ecc.) piuttosto che uso improprio dell'API. Tuttavia, se stai cercando un'app più approfondita (ad esempio un programma di installazione APK, un gestore ROM, ecc.), È probabile che tu trovi altri usi (o abusi) inusuali dell'API, quindi è un caso in cui è sicuramente vale la pena controllare su più versioni e dispositivi.

La stessa identica logica si applica a iOS, anche se tieni presente che molte app avranno come target un insieme piuttosto ristretto di versioni iOS a causa dei cambiamenti irrisolti di Apple tra le versioni.

Dipende da cosa stai testando. Ho scoperto che i dispositivi meno recenti sono leggermente più facili da utilizzare perché è possibile montarli direttamente (non utilizzano MTP) ed eseguire i tuoi strumenti molto più rapidamente.

Come dichiarato da Polynomial, ci sono state significative modifiche API nella 2.1 alla 4.2. In quel momento il supporto JavaScript è stato notevolmente ampliato, il che può o non può essere rilevante per i tuoi test.

Se guardi il file manifest.xml puoi determinare quali sono i livelli di SDK target e supportati dell'app che ti daranno un po 'più di informazioni. La maggior parte delle app si comporta in modo simile durante l'aggiornamento della versione. Tuttavia, se si guarda il codice dell'applicazione stesso, si sarà in grado di visualizzare e codice a livello di sdk specifico che è possibile utilizzare per determinare test aggiuntivi che potrebbero essere necessari.