Как защитить IPA приложения от взлома, если возможен обратный инжиниринг
Недавно мы разработали и опубликовали приложение для мобильного банкинга в магазине приложений для крупной банковской организации. Банк нанял охранную фирму для выполнения этического взлома приложения, чтобы убедиться, что оно каким-либо образом компрометирует конфиденциальные данные.
Недавно мы получили отчет о взломе от фирмы, в котором говорилось об отсутствии серьезных проблем с безопасностью. , содержит список всех файлов классов, имен методов и ассемблерного кода проекта.
Теперь клиент настаивает на том, чтобы мы исправили эти дыры в системе безопасности и повторно опубликовали приложение. Однако мы понятия не имеем, как им удалось получить все эти детали из IPA приложения. Я искал это через SO и нашел конкретное сообщение, в котором упоминается эта ссылка, в которой говорится, что вы не можете спасти свое приложение от взлома.
Пожалуйста, помогите мне, как исправить эти уязвимости безопасности, а если нет возможно, как убедить клиента.
Редактировать: Недавно наткнулся на эту страницу. Похоже, что EnsureIT от Arxan может предотвратить обратную разработку IPA приложений. Кто-нибудь сталкивался с этим?
1 ответ
Я недавно исследовал эту тему и нашел эту статью полезной, особенно в цитируемой части:
Код для нативного приложения хранится в виде двоичного исполняемого файла, который далее зашифрованы; его дешифрование выполняется только тогда, когда исполняемый файл загружается процессором в оперативную память, и весь процесс дешифрования происходит на аппаратном уровне. Вот почему очень сложно создавать инструменты для дешифрования в автономном режиме. Единственный способ расшифровать зашифрованные двоичные данные - это взломанное устройство с несколькими установленными специальными инструментами.
Безопасность в iOS: защита содержимого файла .ipa от Стояна Стоянова