Mobile AppSec World
5.29K subscribers
142 photos
8 videos
19 files
675 links
Новости из мира безопасности мобильных приложений, а так же интересные статьи, обзоры инструментов, доклады, митапы и многое другое...

По всем вопросам - @Mr_R1p
Download Telegram
​​Вопрос, который нередко возникает, когда обнаружили JailBreak или root доступ на устройсте, а что дальше делать-то? 🤔

Первый вариант - запрещать работу приложения на таких устройствах.
Как мне кажется, это самый жестокий по отношению к пользователю путь. Во-первых, такой подход заставляет искать альтернативный вариант сборки этого приложения (где умельцами "отключена" проверка) на форумах и на разных сайтах в интернете. А это может повлечь за собой все, что угодно, от потери денег до 'окирпичивания" устройства. Во-вторых, это заставляет копаться в приложении более продвинутым пользователям и кто знает, что они еще там могут найти 😄

Второй вариант - предупреждать пользователя и ограничивать функционал, но не запрещать работу полностью.
Это уже лучше, но, все равно, часть пользователей, которым нужен заблокированный функционал, попробуют скачать и установить приложение из левых источников. Тем более, проверки могут и ошибаться.

Третий вариант - отправлять информацию о возможной компрометации устройства на сервер.
На мой взгляд - оптимальный вариант, при котором на сервер передается статус. Но главное, чтобы он не только передавался, но и использовался. Как вариант - использовать его в системах антифрода, как один из факторов, определяющих, стоит ли подтвердить дополнительно у пользователя его действие или нет. Уведомлять ли пользователя, что он работает на взломанном устройстве или нет. Я еще для себя не пришел к какому-то окончательному выводу. Наверное, всё-таки стоит это делать, ведь пользователь может и не догадываться о наличии root или JailBreak.

Так, к чему это всё?
Вышла новая версия unc0ver, позволяющая заджейлить практически все устройства на iOS 11.0 - 13.5! 💃💃💃
И пожалуй, это лучшая новость об iOS за последнее время!

#iOS #Jailbreak #unc0ver #fraud