В среде iOS-разработчиков сложилось так, что разговаривать о безопасности приложений как-то не принято. Закрытая операционная система, ревью в App Store, сложная система подписи… Кажется, что бы ни случилось, пользователь будет в безопасности, и единственное, на чем следует сосредоточиться — это безопасность сервера.
Даже на курсах по мобильной безопасности в большинстве случаев показывают, как можно модифицировать код приложения на Android, но не на iOS. Между тем — совершенно зря. И в год, когда приложения российских компаний стали массово пропадать из официального магазина приложений, проблема безопасности становится особенно актуальной.
Можете ли вы быть уверены, что пользователь, залогинившийся на сервер, сделал это из приложения, установленного из надежного источника? Можете ли вы быть уверены, что его данные, и, как следствие, ваша репутация в безопасности?
Полноценный курс по безопасности не уместить в тайминг доклада. Однако его должно быть достаточно, чтобы обозначить необходимость уделять внимание безопасности наряду с разработкой нарядных интерфейсов.
На воркшопе вкратце пробежались по инструментам динамического анализа, познакомились с системой сборки Theos, модифицировали пакет (ipa) демо-приложения таким образом, что данные пользователя окажутся в наших руках. Порассуждали, что можно противопоставить злоумышленнику.
