Det primära att kontroller är kommunikation till och från appen samt eventuella kryptografiska svagheter såsom statiska nycklar eller proprietära algoritmer som går att återskapa.
Att genomföra reverse-engineering på iPhone appar är inte helt trivialt och jag rekommenderar att om appen finns till Android också att kontroller denna.
Kontrollen av trafik till och från appen genomförs med fördel genom att använda en MITM-proxy såsom Burp Proxy eller Charles Proxy. Använder appen krypterad trafik med SSL så kan du installera ett SSL-certifikat som följer med Charles Proxy för att granska trafiken.
Följande blogginlägg går igenom mer i detalj hur du gör att titta på API-trafiken: