Det primära att kontroller är kommunikation till och från appen samt eventuella kryptografiska svagheter såsom statiska nycklar eller proprietära algoritmer som går att återskapa.

Att genomföra reverse-engineering på iPhone appar är inte helt trivialt och jag rekommenderar att om appen finns till Android också att kontroller denna.

Kontrollen av trafik till och från appen genomförs med fördel genom att använda en MITM-proxy såsom Burp Proxy eller Charles Proxy. Använder appen krypterad trafik med SSL så kan du installera ett SSL-certifikat som följer med Charles Proxy för att granska trafiken.

Följande blogginlägg går igenom mer i detalj hur du gör att titta på API-trafiken:

• utvbloggen.se/sa-analyserar-och-anvander-du-iphone-appars-api/

Jonas Lejon som skrivit denna artikel driver företaget Triop AB och är en av Sveriges främsta IT-säkerhetsexperter. Kontakta mig gärna på [email protected] om Er organisation behöver hjälp.

@kryptera

Dela gärna detta inlägg: