Безопасность мобильных приложений

Question

У нас есть приложение на платформе iOS и Android.Мы являемся программистами из муниципалитета, и наши приложения содержат информацию о транспорте нашего города, наши услуги, новости и т. Д. Вместо нашего официального приложения другие программисты взломали наше приложение, и наши услуги были скомпрометированы.Они воспользовались нашими услугами и выпустили еще одно приложение.Я декомпилировал один из их apk и увидел наш адрес веб-службы, имя пользователя и пароль.

Как мы можем защитить наше приложение на платформе iOS и Android ??Это как запрет на доступ их приложений к нашим сервисам или, может быть, предотвращение их взлома.Если мы использовали аутентификацию на предъявителя, мы должны были добавить имя пользователя и пароль в наше приложение.В сервисах мыла мы добавили имя пользователя и пароль в зашифрованном виде, но теперь они взломали приложение, и они использовали один и тот же зашифрованный пароль и имя пользователя и доступ к нашим услугам.

Я не могу понять, как мы можем защитить наши приложения и предотвратить незаконный доступв наши услуги.

Answer 1

Метод заключается в добавлении в каждый веб-сервис ключа авторизации в заголовке запроса.Пользователь получит ключ авторизации при входе в систему или регистрации в качестве ответа от вашей службы аутентификации.Таким образом, вы можете просто отключить доступ из любого запроса, который не имеет ключа авторизации, предоставленного вашей системой.

Также вам нужно запутать ваш код, в android это довольно просто сделать, используя proguard и gradle.

Это не полностью безопасное решение, но оно даст парням некоторое время, пока они снова не смогут пользоваться вашими услугами.