En la actual OWASP MASVS (a partir de ahora v0.9.3) podemos encontrar el siguiente requisito para MASVS-L2 en Requisitos de verificación de seguridad :
MASVS 1.12:
"Los puntos finales remotos verifican que los clientes conectados usen una versión actualizada de la aplicación móvil".
Me pregunto qué tan importante es el punto acerca de la "verificación de [...] clientes de punto final". Por ejemplo, si un cliente realiza una comprobación de versión a través de una llamada de servicio, ¿sería esto suficiente para usted? (Es decir, el cliente llama a un servicio que le indica la "versión mínima requerida", y el cliente puede forzar una actualización si es necesario).
De la forma en que lo veo, si el cliente se ve comprometido, no podemos confiar en ninguna información que envíe al punto final (como su número de versión para una verificación del lado del servidor según lo propuesto por MASVS 1.12). Y si el cliente no está comprometido en no , entonces no debería importar si la verificación de la versión se realiza en el lado del cliente en lugar del lado del servidor, ¿no?