Protección de aplicaciones iOS después de DMA: pasos rápidos para la protección empresarial

La Ley de Mercados Digitales ha cambiado el panorama para los consumidores de iPhone en formas tanto buenas como malas. También hizo que el proceso de protección de aplicaciones fuera un poco más complicado para las empresas Global 2000. Para obtener más información sobre las implicaciones generales tanto para los consumidores como para las empresas que desarrollan aplicaciones para iPhone, consulte nuestra Publicación de blog de marzo en la Catedral y el Bazar Europeos.

¿De qué manera la DMA complicó la vida de las empresas? La DMA exige que terceros (es decir, alguien que no sea el fabricante del teléfono) puedan ofrecer legalmente aplicaciones móviles a la venta en sus propias tiendas de aplicaciones (que no sean Apple). Este mandato esencialmente, e inadvertidamente, abre una puerta para actores de amenaza para modificar las aplicaciones que descargan de la App Store de Apple y luego intentar redistribuirlas en una tienda de aplicaciones de terceros. Estos actores de amenazas participan en dicha actividad para engañar a los usuarios finales haciéndoles creer que la aplicación redistribuida es la versión oficial. released por el propietario, lo que exacerba el riesgo de distribución no autorizada y posibles violaciones de seguridad. Este tipo de vector de ataque no es infrecuente para las aplicaciones de Android porque históricamente Google ha permitido la existencia de tiendas de aplicaciones de terceros.

Da la casualidad de que Digital.ai Application Security está diseñado esencialmente para evitar el tipo de modificación de la aplicación que la DMA permite sin darse cuenta. De hecho, hemos estado previniendo este vector de amenazas desde que existen tiendas de aplicaciones móviles de terceros. Esto lo logramos mediante una combinación de muchos ofuscaciones y nuestra guardia de Verificación de Firma, que proporciona una defensa específica y eficaz.

Para comprender plenamente cómo Digital.ai Para ayudar a las empresas a prevenir este tipo de ataques, es esencial comprender primero cómo los actores de amenazas perpetran este tipo de ataque: el actor de amenazas debe aplicar ingeniería inversa a la aplicación para comprender su comportamiento, modificar la aplicación para recopilar las credenciales o realizar otras acciones maliciosas, y vuelva a firmar la aplicación antes de cargarla en la tienda de aplicaciones de terceros.

¿Cómo Digital.ai ¿ayuda? Proporcionamos herramientas para ofuscar el código de la aplicación. Usar una fuerte ofuscación ayuda a frustrar ingeniería inversa, pero podemos aplicar medidas de seguridad adicionales. Puede utilizar la protección de verificación de firma para asegurarse de que la firma digital de la aplicación en tiempo de ejecución coincida con la firma digital secreta que el autor utilizó originalmente para firmar la aplicación. Si esas firmas no coinciden, su aplicación puede cerrarse antes de que un usuario involuntario sea víctima del ataque.

Para obtener orientación específica sobre cómo proteger mejor las aplicaciones de su organización para sus clientes finales, considere usar la protección de verificación de firma que está disponible con su Digital.ai Application Security para licencia móvil. Continúe leyendo para obtener una descripción general de las instrucciones sobre cómo invocar Signature Verification Guard, o (los clientes existentes) pueden acceder directamente a nuestro Documentación Técnica para Verificación de Firma extendida instrucciones.