Estoy intentando mitigar la omisión de SSL en un iOS con jailbreak. No puedo encontrar un buen trabajo alrededor como Mobile Substrate y SSL kill switch pueden omitir SSL.
He intentado dos cosas:
- Fijación SSL
- Detectar jailbreak y detener la aplicación
Ambos pueden ser rajados. Mi aplicación maneja datos confidenciales, por lo que es necesario protegerlos del interruptor de supresión SSL y del sustrato móvil.
Editar: Gracias a todos por sus maravillosas respuestas. Recientemente encontré un proyecto de seguridad OWASP , que contiene los principales riesgos que los desarrolladores ignoran durante las fases de desarrollo. Así que mi lista de verificación se hizo mucho más grande:
- Controles del lado débil del servidor
- Almacenamiento de datos inseguros
- Protección de la capa de transporte insuficiente
- Fuga de datos involuntaria
- Pobre autorización y autenticación
- Criptografía rota
- Inyección del lado del cliente
- Decisiones de seguridad a través de entradas no confiables
- Manejo de sesión incorrecto
- Falta de protecciones binarias
También tienen una hoja de trucos para pruebas de seguridad de iOS . Por lo tanto, tomar todas las medidas de seguridad es un dolor de cabeza y no creo que mi empleador esté listo para hacerlo, ya que es un esfuerzo que consume mucho tiempo. Así que de la lista que estoy eligiendo:
- Asegurando el almacenamiento de datos
- TLS (Autorización y autenticación, es decir, SSL de 2 vías)
- protección binaria
¿Alguna opinión a este respecto como si asegurar estos 3 sea suficiente? También la aplicación en la que estoy trabajando es una aplicación de banca electrónica si alguien está redactando.