1. Accueil
  2. Question et réponse
  3. MobileFirst vérification de sécurité App native

MobileFirst vérification de sécurité App native

2017-10-04 5 views
0

Nous travaillons sur l'application native en utilisant MobileFirst 7.1 et je vérifiais comment MFP protéger notre application si nous avons couru le cas ci-dessous:MobileFirst vérification de sécurité App native

L'attaquant a utilisé le même BundleID et même nom d'application ciblant notre serveur et a couru l'application sur simulateur qui n'a pas besoin de cert pour le faire. Le Wlapp qui est généré à partir de l'API native n'aura que ce qui est défini dans le descripteur de l'application.

Par exemple:

App1 (legit):

<nativeIOSApp id="MobileiOSNative" platformVersion="7.1.0.00.20170627-0807" bundleId="ca.company.test1" 
version="1.0" xmlns="http://www.worklight.com/native-ios-descriptor" applicationId="MobileiOSNative" securityTest="TestMobile">

App2 (attaquant) en utilisant les mêmes informations que le App1:

<nativeIOSApp id="MobileiOSNative" platformVersion="7.1.0.00.20170627-0807" bundleId="ca.company.test1" 
    version="1.0" xmlns="http://www.worklight.com/native-ios-descriptor" applicationId="MobileiOSNative" securityTest="TestMobile">

Que pourrait arrêter l'attaquant de contacter notre serveur?

J'ai passé par cette URL et pas sûr d'avoir la preuve que couvre le cas ci-dessus:

https://mobilefirstplatform.ibmcloud.com/tutorials/en/foundation/7.1/authentication-security/application-authenticity-protection/

Source

2017-10-04 Hussam Eddin

Répondre

0

Alors qu'un attaquant peut contacter le serveur MobileFirst en utilisant la technique que vous avez mentionné, il ne peut pas faire ne peut pas faire des dégâts puisque l'application ne peut pas être publiée sur l'App Store. En outre, puisque vos ressources backend d'adaptateurs & seront protégées par des contrôles de sécurité, à moins que les informations d'identification ne soient disponibles, le backend n'est pas accessible.

Malgré cela, pour plus de sécurité, vous pouvez utiliser l'authenticité Extended App qui est disponible pour iOS & Android apps. Cependant, en raison des changements dans la façon dont Apple gère les fichiers .ipa après les avoir téléchargés sur l'App Store, cette fonctionnalité est actuellement limitée aux applications Android et aux applications iOS qui ne sont pas distribuées via l'Apple App Store. Si vous effectuez une mise à niveau vers MobileFirst v8, vous pouvez utiliser l'authenticité de l'application dynamique qui couvrira tous les cas, y compris les applications distribuées via Apple App Store.

Source

2017-10-12 00:44:15 Srik

 Questions connexes

  • Aucun problème connexe^_^