Mobile Security Auditor (iOS/Android, Crypto Wallet)
Ищем опытного специалиста по мобильной безопасности для аудита некастодиального крипто-кошелька на iOS и Android. Нужно проверить защиту seed-фраз и приватных ключей, безопасность подписи транзакций, сетевой слой и устойчивость к реверс-инжинирингу. Предлагаем удалённую проектную работу с гибкой оплатой.
Эта вакансия платит больше рынка
На 60% выше медианы Security по 33 вакансиям за 90 дней.
Что предстоит делать
Проект: Некастодиальный мобильный крипто-кошелёк для iOS и Android. Стадия: pre-launch / активная подготовка к релизу. Цель: найти и закрыть уязвимости, которые могут привести к компрометации seed phrase / приватных ключей, подмене транзакций или утечке чувствительных данных. Что важно о продукте • Seed/ключи не собираем и не храним на серверах. • Хранение на устройстве: Secure Enclave (iOS) / StrongBox (Android). • Нет crash-репортинга, нет поведенческой аналитики, нет фоновых запросов к серверам. Задачи (Scope аудита) 1. Seed / private keys • Проверка генерации/импорта/показа seed, хранения и жизненного цикла данных. • Поиск утечек через: память, логи, скриншоты/запись экрана, app switcher preview, clipboard, accessibility, бэкапы iOS/Android. • Проверка корректности использования Secure Enclave/Keychain и Android Keystore/StrongBox (hardware-backed). 2. Подпись транзакций и анти-фишинг • Проверка, что пользователь подписывает “то, что видит” (без подмены параметров). • Проверка deeplink’ов/интентов, защит от подмены адресов, clipboard hijacking и т.п. 3. Network / API • MITM/SSL-pinning, безопасность сетевого слоя, утечки чувствительных данных. 4. Reverse engineering / tampering • Устойчивость к runtime hooking (Frida и т.д.), патчингу, root/jailbreak сценариям. • Рекомендации по hardening: obfuscation, anti-tamper, runtime checks (в пределах разумного, без “магии”). 5. Supply chain • Аудит зависимостей (SCA), проверка секретов в репозитории/CI, рискованных библиотек/конфигов. Ожидаемые результаты (Deliverables) • Threat model (коротко: что защищаем, от кого, что вне зоны — напр. скомпрометированное устройство). • Отчёт по уязвимостям: severity (Critical/High/Med/Low), impact, чёткие шаги воспроизведения, PoC (где уместно), конкретные рекомендации по фиксу. • Mapping на OWASP MASVS/MASTG (что соответствует/не соответствует). • Ретест после фиксов + финальный статус. Требования к кандидату • Практический опыт mobile app security (iOS и Android), включая reverse engineering. • Уверенная работа с инструментами: Frida/Objection, прокси, статический/динамический анализ. • Понимание Secure Enclave/Keychain и Android Keystore/StrongBox, типовых ошибок при хранении секретов. • Опыт аудита крипто-приложений / кошельков / подписи транзакций (или других high-risk приложений). • Умение писать отчёты “для фикса”, а не “для галочки”. Плюсом будет: • Публичные кейсы/репорты, bug bounty, CVE, выступления. • Опыт аудита React Native.
Что предлагаем
Стек и инструменты
Подходит ли вам эта вакансия?
Зарегистрируйтесь и загрузите резюме — посчитаем % совпадения с этой вакансией, подсветим сильные стороны и что стоит подтянуть
Похожие вакансии
6 вакансий
Старший специалист по информационной безопасности
~994 500 – 1 657 500 ₸ оценка
Ищем старшего специалиста по информационной безопасности для развития защиты облачного сервиса и внутренней инфраструктуры. Требуется опыт администрирования Linux от 5 лет и работы в ИБ от 3 лет, знание сетевых протоколов, средств защиты и скриптовых языков. Предлагаем удаленную работу или офис в Москве, гибкий график, ДМС и возможности для профессионального роста.
Ведущий инженер Security SRE
~994 500 – 1 657 500 ₸ оценка
Ищем ведущего инженера по сетевой безопасности в банк Wildberries. Нужно администрировать межсетевые экраны, IDS/IPS, VPN, проводить сканирование уязвимостей и автоматизировать рутину. Требуется опыт с enterprise-FW и скриптами на Python/Bash.
Специалист по информационной безопасности
~994 500 – 1 657 500 ₸ оценка
Компания «Единый оператор» ищет опытного специалиста по информационной безопасности. Вам предстоит проводить аудиты, проектировать архитектуру ИБ, управлять доступом и разрабатывать документацию по непрерывности бизнеса. Требуется опыт от 3 лет, знание средств защиты и умение работать с документацией. Предлагают гибридный или удалённый формат, ДМС и годовые бонусы.
Старший инженер по безопасности приложений
Старший инженер по безопасности приложений в AgileEngine будет проектировать и внедрять автоматизированные системы безопасности в процесс разработки, используя AI для сканирования кода и интеграцию инструментов в CI/CD. Требуется 6+ лет опыта в разработке с фокусом на AppSec, владение Python и Java, а также опыт с SAST/DAST/SCA. Компания предлагает удаленную работу, гибкий график и конкурентную зарплату в USD.
Ведущий специалист по тестированию на проникновение (Penetration Testing Specialist)
~994 500 – 1 657 500 ₸ оценка
Ищем ведущего пентестера для анализа защищенности корпоративных сетей и приложений. Требуется опыт от 2 лет, знание TCP/IP и скриптов на Python. Предлагаем удаленную работу или офис в Москве, помощь в сертификации и участие в профильных мероприятиях.
AI-рішення для кібербезпеки (SOC/IR)
Команда ESKA шукає експерта з кібербезпеки для створення AI-продукту, який автоматизує аналіз інцидентів. Потрібен глибокий досвід SOC, знання MITRE ATT&CK та SIEM, а також навички AI/ML. Пропонується віддалена робота та високий рівень автономності.