Écrit par Dan Shugrue

La loi sur les marchés numériques a changé le paysage des consommateurs d’iPhone d’une manière à la fois bonne et mauvaise. Cela a également rendu le processus de sécurisation des applications un peu plus compliqué pour les entreprises du Global 2000. Pour en savoir plus sur les implications générales pour les consommateurs et les entreprises qui développent des applications pour iPhone, consultez notre Article de blog de mars sur la cathédrale européenne et le bazar.

En quoi le DMA a-t-il compliqué la vie des entreprises ? Le DMA exige que des tiers (c'est-à-dire quelqu'un d'autre que le fabricant du téléphone) puissent légalement proposer des applications mobiles à la vente dans leurs propres App Stores (non Apple). Ce mandat ouvre essentiellement, et par inadvertance, une porte à acteurs de la menace pour modifier les applications qu'ils téléchargent depuis l'App Store d'Apple, puis tenter de redistribuer ces applications sur une boutique d'applications tierce. Ces acteurs malveillants se livrent à de telles activités pour tromper les utilisateurs finaux en leur faisant croire que l'application redistribuée est la version officielle. released par le propriétaire, exacerbant ainsi le risque de distribution non autorisée et de failles de sécurité potentielles. Ce type de vecteur d’attaque n’est pas rare pour les applications Android, car Google a toujours autorisé l’existence de magasins d’applications tiers.

Il se trouve que Digital.ai Application Security est essentiellement conçu pour empêcher le type de modification d’application que le DMA autorise par inadvertance. En fait, nous évitons ce vecteur de menace depuis aussi longtemps que des magasins d'applications mobiles tiers existent. Nous y parvenons grâce à une combinaison de nombreux obscurcissements et notre garde de vérification de signature, qui fournit une défense spécifique et efficace.

Pour bien comprendre comment Digital.ai aide les entreprises à prévenir ce type d'attaque, il est essentiel de comprendre d'abord comment les acteurs de la menace perpétuent ce type d'attaque : l'acteur de la menace doit procéder à une ingénierie inverse de l'application pour comprendre son comportement, modifier l'application pour récolter les informations d'identification ou effectuer d'autres actions malveillantes, et signez à nouveau l'application avant de la télécharger sur la boutique d'applications tierce.

Comment la Digital.ai aide? Nous fournissons des outils pour masquer le code de l'application. Utiliser une forte obscurcissement aide à frustrer ingénierie inverse, mais nous pouvons appliquer des mesures de sécurité supplémentaires. Vous pouvez utiliser la protection de vérification de signature pour vous assurer que la signature numérique de l'application au moment de l'exécution correspond à la signature numérique secrète que l'auteur a initialement utilisée pour signer l'application. Si ces signatures ne correspondent pas, votre application peut s'arrêter avant qu'un utilisateur involontaire ne soit la proie de l'attaque.

Pour obtenir des conseils spécifiques sur la façon de mieux protéger les applications de votre organisation pour vos clients finaux, envisagez d'utiliser le dispositif de vérification de signature disponible avec votre Digital.ai Application Security pour la licence Mobile. Lisez la suite pour un aperçu des instructions sur la façon d'invoquer Signature Verification Guard, ou (clients existants) pouvez accéder directement à notre Documentation technique pour la vérification étendue des signatures des instructions.

Êtes-vous prêt à faire évoluer votre entreprise ?

Explorer

Quoi de neuf dans le monde de Digital.ai

Le 21 juin 2024

Menaces de sécurité pesant sur les applications fonctionnant en dehors du pare-feu : aperçus de 2024 Application Security Rapport de menace

Naviguez parmi les risques croissants de cybersécurité pour les applications exécutées à l'état sauvage – Découvrez plus d'informations sur Digital.aiRapport 2024 sur les menaces liées aux applications.

En savoir plus
Le 18 juin 2024

Comment Continuous Testing Favorise la collaboration en matière de développement et de sécurité : l'approche à la mode du développement sécurisé

Découvrez comment continuous testing et app sec favorisent un SDLC collaboratif, créant un labyrinthe complexe pour les attaquants tout en responsabilisant les équipes et en réduisant les coûts.

En savoir plus
29 mai 2024

Problèmes de sécurité : comment garantir la sécurité du code généré par l'IA

Sécurisez l’IA et le code écrit par l’homme avec Digital.ai Application Security, parfaitement intégré aux pipelines CI/CD, offrant des mécanismes de protection robustes.

En savoir plus