Problema
Pensando en los clones de Snapshat, que robaron las credenciales de la API y luego usaron una API sin permiso ... Creo que el hardware y el sistema operativo subyacentes deberían haber evitado esto.
Solución propuesta
En otras palabras, creo que las llamadas a la API verificadas por hardware desde un teléfono a un dispositivo deberían ser posibles ... donde el punto final de la API puede determinar que una llamada fue permitida por un proceso de verificación criptográfica subyacente.
Simplemente hablando, si Apple quisiera exponer una API a la que solo pueden acceder sus dispositivos, podrían poner una clave privada en el elemento seguro y luego usar una API fija para firmar la llamada a la API con una clave, que luego sería verificado por el punto final 443.
Llevando esto un paso más allá, si las aplicaciones en la AppStore pueden considerarse como una "extensión" controlada a la base de iOS, entonces creo que los usuarios de terceros podrían construir API con firmas similares.
El resultado es que sus puntos finales pueden verificar que fue su aplicación firmada, en un dispositivo iOS, lo que causó la llamada a la API. No más engaños.
Pregunta
¿Existe algo como esto?
¿Podemos aprovechar lo que se nos presenta hoy para tener este nivel adicional de autenticidad en las llamadas de API a nuestros servidores móviles?