MobileFirst本機應用程序的安全檢查

Question

我們正在使用MobileFirst 7.1本機應用程序工作，我被檢查如何MFP保護我們的應用程序，如果我們跑瞭如下的情況：

攻擊者使用相同的bundleID和相同的應用程序名稱針對我們的服務器並在模擬器上運行該應用程序，該程序不需要任何證書就可以做到這一點。

從本機API生成的Wlapp將只具有在應用程序描述符中定義的內容。

例如：

應用1（合法的）：

<nativeIOSApp id="MobileiOSNative" platformVersion="7.1.0.00.20170627-0807" bundleId="ca.company.test1" 
version="1.0" xmlns="http://www.worklight.com/native-ios-descriptor" applicationId="MobileiOSNative" securityTest="TestMobile"> 

應用2使用相同的信息作爲應用1（攻擊者）：

<nativeIOSApp id="MobileiOSNative" platformVersion="7.1.0.00.20170627-0807" bundleId="ca.company.test1" 
    version="1.0" xmlns="http://www.worklight.com/native-ios-descriptor" applicationId="MobileiOSNative" securityTest="TestMobile"> 

什麼會從接觸停止攻擊我們的服務器？

我必須去通過這個網址，不知道我有一個覆蓋上述情況的證明：

https://mobilefirstplatform.ibmcloud.com/tutorials/en/foundation/7.1/authentication-security/application-authenticity-protection/

Answer 1

雖然攻擊者可以使用你所提到的技術聯繫MobileFirst服務器，它不能做不了由於該應用無法在應用商店發佈，因此造成任何損害。此外，由於您的適配器&後端資源將受到安全檢查的保護，除非憑據可用，否則後端無法訪問。

儘管如此，爲了增加安全性，您可以使用適用於iOS & Android應用程序的擴展應用程序真實性。但是，由於蘋果在將它們上傳到App Store後處理.ipa文件的方式發生了變化，該功能目前僅限於未通過Apple App Store分發的Android應用程序和iOS應用程序。

如果您升級到MobileFirst v8，則可以使用動態應用程序真實性，這將涵蓋所有情況，包括通過Apple App Store分發的應用程序。