MobileFirst本机应用程序的安全检查

Question

我们正在使用MobileFirst 7.1本机应用程序工作，我被检查如何MFP保护我们的应用程序，如果我们跑了如下的情况：

攻击者使用相同的bundleID和相同的应用程序名称针对我们的服务器并在模拟器上运行该应用程序，该程序不需要任何证书就可以做到这一点。

从本机API生成的Wlapp将只具有在应用程序描述符中定义的内容。

例如：

应用1（合法的）：

<nativeIOSApp id="MobileiOSNative" platformVersion="7.1.0.00.20170627-0807" bundleId="ca.company.test1" 
version="1.0" xmlns="http://www.worklight.com/native-ios-descriptor" applicationId="MobileiOSNative" securityTest="TestMobile"> 

应用2使用相同的信息作为应用1（攻击者）：

<nativeIOSApp id="MobileiOSNative" platformVersion="7.1.0.00.20170627-0807" bundleId="ca.company.test1" 
    version="1.0" xmlns="http://www.worklight.com/native-ios-descriptor" applicationId="MobileiOSNative" securityTest="TestMobile"> 

什么会从接触停止攻击我们的服务器？

我必须去通过这个网址，不知道我有一个覆盖上述情况的证明：

https://mobilefirstplatform.ibmcloud.com/tutorials/en/foundation/7.1/authentication-security/application-authenticity-protection/

Answer 1

虽然攻击者可以使用你所提到的技术联系MobileFirst服务器，它不能做不了由于该应用无法在应用商店发布，因此造成任何损害。此外，由于您的适配器&后端资源将受到安全检查的保护，除非凭据可用，否则后端无法访问。

尽管如此，为了增加安全性，您可以使用适用于iOS & Android应用程序的扩展应用程序真实性。但是，由于苹果在将它们上传到App Store后处理.ipa文件的方式发生了变化，该功能目前仅限于未通过Apple App Store分发的Android应用程序和iOS应用程序。

如果您升级到MobileFirst v8，则可以使用动态应用程序真实性，这将涵盖所有情况，包括通过Apple App Store分发的应用程序。