Nous travaillons sur l'application native en utilisant MobileFirst 7.1 et je vérifiais comment MFP protéger notre application si nous avons couru le cas ci-dessous:MobileFirst vérification de sécurité App native
L'attaquant a utilisé le même BundleID et même nom d'application ciblant notre serveur et a couru l'application sur simulateur qui n'a pas besoin de cert pour le faire. Le Wlapp qui est généré à partir de l'API native n'aura que ce qui est défini dans le descripteur de l'application.
Par exemple:
App1 (legit):
<nativeIOSApp id="MobileiOSNative" platformVersion="7.1.0.00.20170627-0807" bundleId="ca.company.test1"
version="1.0" xmlns="http://www.worklight.com/native-ios-descriptor" applicationId="MobileiOSNative" securityTest="TestMobile">
App2 (attaquant) en utilisant les mêmes informations que le App1:
<nativeIOSApp id="MobileiOSNative" platformVersion="7.1.0.00.20170627-0807" bundleId="ca.company.test1"
version="1.0" xmlns="http://www.worklight.com/native-ios-descriptor" applicationId="MobileiOSNative" securityTest="TestMobile">
Que pourrait arrêter l'attaquant de contacter notre serveur?
J'ai passé par cette URL et pas sûr d'avoir la preuve que couvre le cas ci-dessus: