Recientemente desarrollamos y publicamos una aplicación de banca móvil en la tienda de aplicaciones, para una gran organización bancaria. El banco contrató a una empresa de seguridad para que realice una piratería ética sobre la aplicación para ver si de alguna manera compromete la información confidencial.Cómo proteger la IPA de la aplicación de los ataques si es posible la ingeniería inversa
Recientemente recibimos el informe de piratería de la empresa, que a pesar de indicar que no hay problemas de seguridad graves, contiene una lista de todos los archivos de clase, nombres de métodos y el código de ensamblado del proyecto.
Ahora el cliente insiste en que solucionemos estos agujeros en el bucle de seguridad y volveremos a publicar la aplicación. Sin embargo, no tenemos idea de cómo lograron obtener todos estos detalles del IPA de la aplicación. Busqué esto por SO y encontré una publicación en particular que menciona el enlace this, que dice que no puedes guardar tu aplicación para que no sea pirateada.
Por favor, ayúdenme a solucionar estas vulnerabilidades de seguridad, o si no es posible, cómo convencer al cliente.
Editar: Recientemente encontré this página. Parece que EnsureIT de Arxan puede evitar que las IPA de la aplicación se realicen en ingeniería inversa. Alguien experimentado con esto?
Usted debe revisar esta pregunta: ¿http://stackoverflow.com/questions/5556849/iphone-ipad-app-code-obfuscation-is-it-possible-worth-it – andreamazz
Gracias por tu respuesta andreamzz. Sin embargo, la respuesta aceptada en el post dice que la ofuscación en el objetivo C no es posible, y el método manual que se ha descrito, sería demasiado tedioso y lento para su incorporación en una aplicación ya completada. – Vin
hacking ético? ¿y si alguien intenta piratear sin ética? – peko