一般に、アプリケーションのセキュリティはアプリケーション自体をはるかに超えています。なぜなら?なぜなら、アプリケーションは長い間、デバイスにインストールされる孤立したエンティティではなくなり、サービスへのゲートウェイになっているからです。ユーザーと開発者の両方が安全に保ちたいアクセスは、新しい App Attest API によって促進されます。
検証が先、サービスはその後
iOS 14 および iPadOS 14 で、Apple は App Attest と呼ばれる新しい API を導入しました。これを使用すると、アプリケーションはサーバーに接続する前にさまざまなセキュリティ チェックを実行できます。このシステムのおかげで、さまざまなサービスは、アプリがいかなる方法でも変更されていないことを確認できます。
API は、Apple サーバーによって管理されるデバイスの暗号キーを生成することによって機能し、その後、その暗号キーをアプリの整合性の検証に使用できます。アプリが整合性をチェックすると、接続プロセスと通常の操作を続行できます。
この機能のおかげで、サービスプロバイダーは、ジェイルブレイクによって変更されたアプリ、または変更後にユーザーによって直接ロードされたアプリを検出できるようになります。開発者サポート ドキュメントで、Apple は API を次の用語で説明しています。
DeviceCheck サービスの一部として、新しい App Attest API は、iOS 14 以降のアプリに対するセキュリティの脅威から保護し、サービスの不正使用を削減します。 App Attest を使用すると、サーバーが機密データへのアクセスを提供する前に、デバイス上で特別な暗号キーを生成し、それを使用してアプリの整合性を検証できます。
この API により、Apple はアプリケーションやサービスのセキュリティを管理するためのさらに多くのツールを開発者に提供します。すべてのアプリがこの機能を使用する必要があるわけではないと思われますが、銀行アプリはもちろん、不正行為を避けるためのオンライン ゲーム、機能のロックを解除するためのアプリ内購入を提供するアプリに至るまで、大きなメリットがある例がいくつか思いつきます。 。
Craig Federighi が WWDC20 基調講演ですでにコメントしたように、iPhone または iPad に命を吹き込むオペレーティング システムの新しいバージョンでは、 セキュリティへの重点がさらに強化されています。今日私たちが目にしているような API は、疑いもなく、この事実を裏付けています。