Apple recuerda a los desarrolladores que pueden mejorar la seguridad de sus aplicaciones usando la API de App Attest

Apple recuerda a los desarrolladores que pueden mejorar la seguridad de sus aplicaciones usando la API de App Attest
1 comentario Facebook Twitter Flipboard E-mail

En general la seguridad de una aplicación va mucho más allá de la aplicación en si. ¿Por qué? Porque las aplicaciones hace tiempo que han dejado de ser entes aislados instalados en nuestros dispositivos para convertirse en puertas de acceso a servicios. Accesos que, tanto usuarios como desarrolladores, queremos mantener seguros, algo que la nueva API App Attest se ocupará de facilitar.

Verificación primero, servicios después

Apple App Store

En iOS 14 e iPadOS 14 Apple introdujo una nueva API llamada App Attest, con la que las aplicaciones pueden realizar varias comprobaciones de seguridad antes de que se realice la conexión con los servidores. Gracias a este sistema los diferentes servicios podrán asegurarse de que tanto la app no ha sido modificada en forma alguna.

La API funciona al generar una clave criptográfica para el dispositivo, de la que se encargan los servidores de Apple, que luego puede usarse para verificar la integridad de la app. Una vez la app comprueba la integridad puede continuar con el proceso de conexión y funcionamiento normal.

Gracias a esta función los proveedores de servicio podrán detectar apps que han sido modificadas mediante jailbreak o que han sido cargadas directamente por el usuario después de haber sido modificadas. En el documento de soporte para desarrolladores Apple describe la API en los siguientes términos:

Como parte de los servicios de DeviceCheck, la nueva API App Attest ayuda a protegerse contra las amenazas a la seguridad de tus aplicaciones en iOS 14 o posterior, reduciendo el uso fraudulento de tus servicios. Con App Attest, puedes generar una clave criptográfica especial en un dispositivo y utilizarla para validar la integridad de tu aplicación antes de que tu servidor proporcione acceso a datos confidenciales.

Con esta API Apple dota a los desarrolladores de aún más herramientas con las que manejar la seguridad de sus aplicaciones y servicios. Es probable que no todas las apps necesiten usar esta función, pero se me ocurren varios ejemplos que se beneficiarán enormemente, desde las apps bancarias, por supuesto, hasta los juegos online para evitar trampas, pasando por apps que ofrezcan compras In-App para desbloquear funciones.

Como ya comentó Craig Federighi en la Keynote de la WWDC20, las nuevas versiones del sistema operativo que da vida a nuestro iPhone o iPad han redoblado su orientación a la seguridad. APIs como la que vemos hoy confirman, sin más duda, este hecho.

Comentarios cerrados
Inicio