不正なネイティブモバイルアプリへのカプセル化からモバイルWebサイトをどのように保護しますか?
私たちはモバイルアプリケーション(m.website.com)を開発しています。
不正な開発者がIOS/Androidネイティブアプリを構築するのを防ぐ方法はありますか?Webkitを使用してウェブキットを使用してアプリにウェブサイトをカプセル化し、UI修復攻撃を実行しますまたはクリックジャッキング?
(HTTPヘッダー「X-Frame-Options:Sameorigin」は、別のWebサイトをカプセル化(フレーム化)する悪意のあるWebサイトのシナリオで効果的ですが、ネイティブモバイルアプリによるカプセル化を防ぐ方法はわかりますか?)
ユーザー 信頼できないアプリ内のWebページを信頼することはできません 。
したがって、特定のアプリを使用しているときにWebサイトに対してUI修復攻撃があった場合、これはアプリケーションを信頼するためのユーザーの責任になります。
さらに、アプリケーション開発者がユーザーに電話を使用してサイト上の何かをクリックしてもらいたい場合は、これをアプリケーションにコーディングするだけです。ユーザーがそれを行う必要はありません。アプリケーション内のブラウザは電話ブラウザとは異なるCookieのセットを使用するため、これはユーザーの既存のセッションには影響しません。彼らはアプリケーションのブラウザウィンドウであなたのサイトにログオンしなければならなかったでしょう、そしてその時点で不正なアプリケーションはとにかく単に資格情報を収集したかもしれません。
正解、設定X-Frame-Optionsは良い考えですが、それを強制するためにブラウザを信頼しています。信頼できないブラウザから身を守ることはできません。
あなたに残されているのは、あなたになりすましたアプリのアプリストアを監視することです。