Sécurisation des applications iOS post-DMA : étapes rapides pour la protection de l'entreprise

La loi sur les marchés numériques a changé le paysage des consommateurs d’iPhone d’une manière à la fois bonne et mauvaise. Cela a également rendu le processus de sécurisation des applications un peu plus compliqué pour les entreprises du Global 2000. Pour en savoir plus sur les implications générales pour les consommateurs et les entreprises qui développent des applications pour iPhone, consultez notre Article de blog de mars sur la cathédrale européenne et le bazar.

En quoi le DMA a-t-il compliqué la vie des entreprises ? Le DMA exige que des tiers (c'est-à-dire quelqu'un d'autre que le fabricant du téléphone) puissent légalement proposer des applications mobiles à la vente dans leurs propres App Stores (non Apple). Ce mandat ouvre essentiellement, et par inadvertance, une porte à acteurs de la menace pour modifier les applications qu'ils téléchargent depuis l'App Store d'Apple, puis tenter de redistribuer ces applications sur une boutique d'applications tierce. Ces acteurs malveillants se livrent à de telles activités pour tromper les utilisateurs finaux en leur faisant croire que l'application redistribuée est la version officielle. released par le propriétaire, exacerbant ainsi le risque de distribution non autorisée et de failles de sécurité potentielles. Ce type de vecteur d’attaque n’est pas rare pour les applications Android, car Google a toujours autorisé l’existence de magasins d’applications tiers.

Il se trouve que Digital.ai Application Security est essentiellement conçu pour empêcher le type de modification d’application que le DMA autorise par inadvertance. En fait, nous évitons ce vecteur de menace depuis aussi longtemps que des magasins d'applications mobiles tiers existent. Nous y parvenons grâce à une combinaison de nombreux obscurcissements et notre garde de vérification de signature, qui fournit une défense spécifique et efficace.

Pour bien comprendre comment Digital.ai aide les entreprises à prévenir ce type d'attaque, il est essentiel de comprendre d'abord comment les acteurs de la menace perpétuent ce type d'attaque : l'acteur de la menace doit procéder à une ingénierie inverse de l'application pour comprendre son comportement, modifier l'application pour récolter les informations d'identification ou effectuer d'autres actions malveillantes, et signez à nouveau l'application avant de la télécharger sur la boutique d'applications tierce.

Comment Digital.ai aide? Nous fournissons des outils pour masquer le code de l'application. Utiliser une forte obscurcissement aide à frustrer ingénierie inverse, mais nous pouvons appliquer des mesures de sécurité supplémentaires. Vous pouvez utiliser la protection de vérification de signature pour vous assurer que la signature numérique de l'application au moment de l'exécution correspond à la signature numérique secrète que l'auteur a initialement utilisée pour signer l'application. Si ces signatures ne correspondent pas, votre application peut s'arrêter avant qu'un utilisateur involontaire ne soit la proie de l'attaque.

Pour obtenir des conseils spécifiques sur la façon de mieux protéger les applications de votre organisation pour vos clients finaux, envisagez d'utiliser le dispositif de vérification de signature disponible avec votre Digital.ai Application Security pour la licence Mobile. Lisez la suite pour un aperçu des instructions sur la façon d'invoquer Signature Verification Guard, ou (clients existants) pouvez accéder directement à notre Documentation technique pour la vérification étendue des signatures des instructions.