O OWASP MASVS define o que um app móvel seguro deve ter, ou seja, os requisitos de segurança, enquanto o OWASP MASTG descreve como testar esses requisitos, ou seja, o método. São complementares e não concorrentes: o MASVS é o padrão, uma lista de controles, e o MASTG é o manual de testes que mostra como verificar cada controle. Ambos fazem parte do projeto OWASP Mobile Application Security, e usados juntos transformam a pergunta "meu app é seguro?" em uma verificação concreta e repetível.
Resposta rápida
O MASVS é o "o quê" e o MASTG é o "como". Segundo a OWASP, o MASVS é um padrão que lista os requisitos de segurança de um app móvel, organizados em categorias como armazenamento, criptografia, rede e resiliência. O MASTG é o guia de testes que descreve como verificar cada um desses requisitos, com casos de teste e técnicas para Android e iOS. Você usa o MASVS para definir o nível de segurança alvo e o MASTG para testar se o app o atinge. Ambos são mantidos pelo projeto OWASP Mobile Application Security.
O que é o OWASP MASVS?
O OWASP MASVS, ou Mobile Application Security Verification Standard, é um padrão que define os requisitos de segurança de um aplicativo móvel. Em vez de dizer como testar, ele diz o que precisa estar seguro: como os dados sensíveis são armazenados, como a criptografia é usada, como a comunicação de rede é protegida, e assim por diante. É, na prática, uma lista de controles que serve de alvo.
Sua utilidade está em dar uma referência comum. Em vez de cada equipe inventar sua própria noção de "app seguro", o MASVS oferece um conjunto de requisitos reconhecido, para que desenvolvedores, testadores e clientes falem a mesma língua. É o ponto de partida: define para onde você quer chegar.
O que é o OWASP MASTG?
O OWASP MASTG, ou Mobile Application Security Testing Guide, é o guia que descreve como testar os requisitos do MASVS. Onde o MASVS diz "os dados sensíveis devem ser protegidos", o MASTG mostra como verificar isso na prática: quais casos de teste executar, quais técnicas e ferramentas usar, e o que procurar em Android e iOS.
É um manual detalhado e prático. Cobre desde a análise estática do binário até os testes dinâmicos com o app em execução, passando por engenharia reversa e verificação de controles específicos. Se o MASVS é a lista do que verificar, o MASTG é o passo a passo de como verificar cada item.
MASVS vs MASTG: a diferença
A diferença central é simples: o MASVS é o "o quê" e o MASTG é o "como". Um define os requisitos, o outro descreve os testes. Eles não competem; foram feitos para trabalhar juntos, e a maioria das confusões vem de tratá-los como alternativas quando são camadas diferentes do mesmo processo. A tabela abaixo resume as diferenças.
| Aspecto | OWASP MASVS | OWASP MASTG |
|---|---|---|
| O que é | Padrão de requisitos (o "o quê") | Guia de testes (o "como") |
| Formato | Lista de controles de segurança | Casos de teste e técnicas |
| Uso | Definir o nível de segurança | Verificar cada requisito |
| Exemplo | "Dados sensíveis devem ser protegidos" | "Como testar o armazenamento" |
| Público | Todos, define o alvo | Testadores e pentesters |
Pensar neles como "requisito" e "teste" evita o erro mais comum. Você não escolhe entre MASVS e MASTG: usa o MASVS para saber o que verificar e o MASTG para saber como. Um sem o outro fica incompleto, um alvo sem método ou um método sem alvo.
As categorias do MASVS
O MASVS organiza seus requisitos em categorias temáticas, o que facilita cobrir todas as áreas. As principais incluem armazenamento, ou seja, como os dados ficam no dispositivo, criptografia, com o uso correto de algoritmos e chaves, autenticação, para login e sessões, rede, para comunicação segura, interação com a plataforma, para permissões e componentes, e resiliência, para resistência à adulteração e à engenharia reversa. Versões recentes também tratam a privacidade.
Essa divisão é útil na prática porque vira uma lista de verificação. Ao percorrer cada categoria, você garante que não esqueceu uma área inteira, como deixar o armazenamento seguro mas ignorar a rede. Cada achado de segurança costuma se encaixar em uma dessas categorias, o que também ajuda a priorizar e a comunicar o problema. Por exemplo, uma chave secreta embutida no app é uma questão de armazenamento ou de criptografia, enquanto o tráfego sem HTTPS é uma questão de rede, e nomear a categoria certa já aponta para o tipo de correção necessária.
Como usar os dois juntos
Na prática, o fluxo é direto: você define o alvo com o MASVS e verifica com o MASTG. A tabela abaixo mostra os passos.
| Passo | Ação | Por quê |
|---|---|---|
| 1 | Escolha o perfil MASVS adequado | Define o alvo de segurança |
| 2 | Liste os controles aplicáveis | Saber o que precisa cumprir |
| 3 | Use o MASTG para testar cada um | Saber como verificar |
| 4 | Registre os resultados por controle | Garantir rastreabilidade |
| 5 | Corrija e reteste | Fechar as lacunas |
| 6 | Automatize o previsível com um scanner | Ganhar velocidade |
O ponto central é a rastreabilidade. Ao ligar cada requisito do MASVS a um teste do MASTG, você consegue dizer não só "encontramos um problema", mas "o controle X do MASVS falhou, verificado pelo teste Y do MASTG". Isso torna o resultado utilizável para auditorias, para o time de desenvolvimento e para comparar avaliações ao longo do tempo.
Quem usa o MASVS e o MASTG?
Vários públicos usam esses documentos, cada um por um motivo. Desenvolvedores os usam para saber quais controles implementar antes de lançar. Testadores e pentesters os usam para conduzir avaliações estruturadas em vez de checagens improvisadas. E clientes ou equipes de conformidade os usam como referência para exigir e verificar um nível de segurança.
Essa amplitude é justamente o valor de um padrão aberto. Como o MASVS e o MASTG são reconhecidos e gratuitos, servem de linguagem comum entre quem constrói, quem testa e quem contrata. Um relatório mapeado ao MASVS é compreensível para todas essas partes, o que reduz mal-entendidos.
Níveis de verificação e perfis
Nem todo app precisa do mesmo rigor, e o MASVS reconhece isso por meio de perfis ou níveis de segurança. Um app simples sem dados sensíveis tem exigências menores do que um app bancário ou de saúde, e o padrão permite escolher o conjunto de controles adequado ao risco. A ideia é aplicar o esforço onde importa.
Definir o perfil certo é o primeiro passo prático. Escolher um nível baixo demais deixa lacunas; um alto demais gasta esforço em controles que seu app não precisa. Ajustar o alvo ao risco real do app torna todo o processo, do MASVS ao MASTG, mais eficiente e mais defensável.
Onde os scanners automáticos entram
Boa parte da verificação pode ser acelerada com ferramentas. Scanners de segurança móvel analisam o binário e mapeiam os achados às categorias do MASVS, cobrindo automaticamente muitos dos controles que, de outra forma, você testaria à mão com o MASTG. Isso não substitui o julgamento humano, mas remove o trabalho repetitivo.
O papel do scanner é limpar o previsível para que o teste manual se concentre no que exige análise. Segredos embutidos, tráfego em claro e armazenamento inseguro costumam ser detectáveis automaticamente; a lógica de negócio e os casos sutis ainda pedem um testador seguindo o MASTG. O ideal é combinar os dois.
Comece pelo MASVS, verifique com o MASTG
A forma mais simples de começar é usar o MASVS como lista de metas e o MASTG como método, e automatizar o que der. Percorra as categorias do MASVS, defina o perfil adequado ao risco do seu app, e use o MASTG para verificar cada controle, deixando as verificações repetitivas para um scanner.
Um scanner como o PTKD.com analisa seu .ipa ou .apk e devolve resultados ordenados por gravidade e mapeados ao OWASP MASVS, cobrindo segredos embutidos, armazenamento e configurações de rede. Sendo honesto sobre os limites: um scanner automático não substitui a avaliação manual do MASTG para apps de alto risco, nem julga a lógica de negócio. Ele acelera a parte previsível, para que o MASVS e o MASTG guiem o resto.
O que lembrar
- O MASVS define os requisitos de segurança, o "o quê"; o MASTG descreve como testá-los, o "como".
- Eles são complementares, não alternativas, e ambos fazem parte do projeto OWASP Mobile Application Security.
- O MASVS organiza os requisitos em categorias como armazenamento, criptografia, rede e resiliência.
- Escolha o perfil MASVS adequado ao risco do app e verifique cada controle com o MASTG.
- Acelere a parte previsível com um scanner como o PTKD.com, mapeado ao MASVS.



