El proyecto de seguridad móvil de OWASP tiene muchas más cosas que "el HTTPS básico es obligatorio", por ejemplo, sobre ese tema, puede leer más aquí: enlace
Al profundizar un poco más en el proyecto, encontrarás esto: enlace contiene un paso a paso. Ejemplo de paso.
Puede volver a comprobar el OWASP Mobile Security Project 2016 , tienen una versión final (2016) para la versión móvil aquí:
enlace (Página principal)
y también la lista de verificación: ( no sé por qué, pero está alojado en Google Drive, enlace desde el sitio owasp en la parte superior ).
enlace
Por supuesto, también tienen un RC para los 10 principales proyectos de seguridad móvil :
M1 - Improper Platform Usage
M2 - Insecure Data Storage
M3 - Insecure Communication
M4 - Insecure Authentication
M5 - Insufficient Cryptography
M6 - Insecure Authorization
M7 - Client Code Quality
M8 - Code Tampering
M9 - Reverse Engineering
M10 - Extraneous Functionality
La información completa sobre el top ten móvil está aquí:
enlace
Su aplicación será "segura" si sigue y aprende sobre todos estos temas.