¿El servicio en la nube de Approov autentica el SDK de Approov?
El SDK de Approov en sí mismo está construido de acuerdo con la Norma de Verificación de Seguridad de Aplicaciones Móviles OWASP (MASVS) como guía para las mejores prácticas.
El SDK de Approov utiliza las siguientes tácticas (entre otras):
- Ofuscación / endurecimiento de código: el SDK de Approov en sí mismo está extensamente endurecido, por lo que su código es más difícil de entender para un atacante tanto en términos de estructura como de funcionalidad.
- Cifrado: se utilizan algoritmos de cifrado fuertes para proteger todo el tráfico de red, almacenamiento de datos y otra información confidencial intercambiada entre el SDK de Approov y el servicio en la nube de Approov, así como la comunicación con las API del backend.
- Medidas anti-manipulación: estas medidas están diseñadas para detectar y prevenir la manipulación del código y los datos del SDK. Las medidas anti-manipulación van más allá de la validación básica de la suma de comprobación e incluyen comprobaciones de integridad de datos y otras protecciones binarias.
- Protección en tiempo de ejecución: Approov monitorea el comportamiento de la aplicación en tiempo de ejecución y detecta y responde a la actividad sospechosa. Las medidas de protección en tiempo de ejecución incluyen detectar y prevenir la manipulación de la memoria, detectar y bloquear la inyección de código malicioso y detectar y responder a la actividad de red inusual.
- Minimización de código: utilizando el SDK de Approov, se reduce el perímetro necesario para defender la aplicación y se reduce el tamaño y complejidad general de la superficie de ataque. Al minimizar el código, se vuelve más difícil para un atacante entender su estructura y funcionalidad.
- Atestación del SDK: como parte del proceso de autenticación de la aplicación, el SDK en sí mismo se atesta para la autenticidad antes de que se ateste el resto de la aplicación para la autenticidad completa.