Protegendo aplicativos iOS pós-DMA: etapas rápidas para proteção empresarial

A Lei dos Mercados Digitais mudou o cenário para os consumidores do iPhone de maneiras boas e ruins. Também tornou o processo de proteção de aplicativos um pouco mais complicado para as empresas Global 2000. Para saber mais sobre as implicações gerais para consumidores e empresas que desenvolvem aplicativos para o iPhone, confira nosso Postagem do blog de março na Catedral Europeia e no Bazar.

De que forma o DMA complicou a vida das empresas? O DMA determina que terceiros (ou seja, alguém que não seja o fabricante do telefone) possam oferecer legalmente aplicativos móveis para venda em suas próprias App Stores (que não sejam da Apple). Este mandato essencialmente, e inadvertidamente, abre uma porta para atores de ameaças para modificar aplicativos baixados da Apple App Store e, em seguida, tentar redistribuir esses aplicativos em uma loja de aplicativos de terceiros. Esses agentes de ameaças se envolvem em tais atividades para enganar os usuários finais, fazendo-os acreditar que o aplicativo redistribuído é a versão oficial released pelo proprietário, exacerbando assim o risco de distribuição não autorizada e possíveis violações de segurança. Esse tipo de vetor de ataque não é incomum em aplicativos Android porque o Google historicamente permitiu a existência de lojas de aplicativos de terceiros.

Acontece que Digital.ai Application Security é essencialmente projetado para evitar o tipo de modificação de aplicativo que o DMA permite inadvertidamente. Na verdade, temos evitado esse vetor de ameaça desde que existem lojas de aplicativos móveis de terceiros. Conseguimos isso através de uma combinação de muitos ofuscações e nosso guarda de Verificação de Assinatura, que fornece uma defesa específica e eficaz.

Para entender completamente como Digital.ai ajuda as empresas a prevenir esse tipo de ataque, é essencial primeiro entender como os agentes da ameaça perpetram esse tipo de ataque: O agente da ameaça deve fazer engenharia reversa do aplicativo para entender seu comportamento, modificar o aplicativo para coletar as credenciais ou executar outras ações maliciosas, e assine novamente o aplicativo antes de carregá-lo na loja de aplicativos de terceiros.

como funciona Digital.ai ajuda? Fornecemos ferramentas para ofuscar o código do aplicativo. Usar ofuscação forte ajuda a frustrar engenharia reversa, mas podemos aplicar medidas de segurança adicionais. Você pode usar o protetor de Verificação de Assinatura para garantir que a assinatura digital no aplicativo em tempo de execução corresponda à assinatura digital secreta que o autor usou originalmente para assinar o aplicativo. Se essas assinaturas não corresponderem, seu aplicativo poderá ser encerrado antes que um usuário involuntário seja vítima do ataque.

Para obter orientação específica sobre como proteger melhor os aplicativos da sua organização para seus clientes finais, considere usar o protetor de Verificação de Assinatura que está disponível com seu Digital.ai Application Security para licença móvel. Continue lendo para obter uma visão geral das instruções sobre como invocar o Signature Verification Guard ou (clientes existentes) podem ir direto para nosso Documentação técnica para verificação estendida de assinatura instruções.