MobileFirstネイティブアプリのセキュリティチェック

Question

我々はMobileFirst 7.1を使用して、ネイティブアプリに取り組んでいると私は下に私たちはケースを実行した場合、MFPは我々のアプリを保護する方法をチェックしていた。攻撃者が当社のサーバーをターゲットと同じbundleIDと同じアプリケーション名を使用

シミュレータ上でアプリを実行しましたが、そのためには何の証明も必要ありません。

ネイティブAPIから生成されたWlappは、アプリケーション記述子で定義されたものだけを持ちます。例えば

：

App1の（合法）：私たちとの接触から攻撃を止めることができるもの

<nativeIOSApp id="MobileiOSNative" platformVersion="7.1.0.00.20170627-0807" bundleId="ca.company.test1" 
    version="1.0" xmlns="http://www.worklight.com/native-ios-descriptor" applicationId="MobileiOSNative" securityTest="TestMobile"> 

：

<nativeIOSApp id="MobileiOSNative" platformVersion="7.1.0.00.20170627-0807" bundleId="ca.company.test1" 
version="1.0" xmlns="http://www.worklight.com/native-ios-descriptor" applicationId="MobileiOSNative" securityTest="TestMobile"> 

App2の（攻撃者）のApp1と同じ情報を使用してサーバー？

私は上記のケースをカバーする証拠を持っていることを確認し、このURLを経て、していない：

https://mobilefirstplatform.ibmcloud.com/tutorials/en/foundation/7.1/authentication-security/application-authenticity-protection/

Answer 1

攻撃者はあなたが言及した技術を使用してMobileFirstサーバーに接続することができますが、それができないことができませんアプリをアプリストアに公開できないため、何らかの損害を与えないでください。さらに、アダプタ&のバックエンドリソースはセキュリティチェックによって保護されるため、資格情報が利用可能でない限り、バックエンドにアクセスすることはできません。

これにもかかわらず、セキュリティを強化するために、iOS & Androidアプリで使用できる拡張アプリの信頼性を使用できます。ただし、Appleが.ipaファイルをApp Storeにアップロードした後の処理方法が変更されたため、この機能は現在、Android AppおよびApple App Storeから配布されていないiOSアプリケーションにのみ使用できます。

MobileFirst v8にアップグレードすると、Apple App Store経由で配布されたアプリケーションを含むすべてのケースをカバーする動的アプリの信頼性を使用できます。