شاید این خبر که «اپلیکیشنها در اناردونی دستکاری میشوند» را شما هم شنیده باشید و شاید پس از شنیدن آن دیگر حاضر نباشید از خدمات اناردونی استفاده کنید؛ اما این حرف تا چه میزان صحیح است و اصلا چرا اناردونی باید دست به چنین کاری بزند؟ با انارمگ در ادامه همراه باشید تا بطور مفصل درباره امنیت اناردونی با شما صحبت کنیم…
امنیت اناردونی
اناردونی یکی از معدود استورهای آیاواس بود که در زمان شروع فعالیت از دیوایسهای جیلبریک شده استقبال کرد و بدون نیاز به پرداخت هیچگونه هزینه (در زمان اکانتهای اینترپرایز) کاربرانی که دارای دیوایس جیلبریک شده بودند، میتوانستند اپلیکیشنها را دریافت و بر روی دیوایس خود نصب کنند.
پس از پایان دوره اینترپرایز و شروع عصر جدید استورهای ایرانی که از آن با عنوان سیستم ادهاک یاد میکنند، اناردونی به ناچار دسترسی رایگان دیوایسهای جیلبریک شده را جهت استفاده از خدمات اناردونی بست و همین باعث شد تعداد زیادی از کاربران ناراضی شوند.
اپلیکیشنهای بانکی که روزانه همه ما با آنها سروکار داریم، به دلایل فنی و تفاوتهایی که سیستم ادهاک با اینترپرایز داشت، نمیتوانستند موارد امنیتی نظیر تغییر Code Sign اپلیکیشن را زیر نظر بگیرند و همین باعث میشد تا از انتشار اپلیکیشن خود در استورهای ایرانی صرفنظر کنند.
جلوگیری از سواستفاده اشخاص ثالث
اناردونی برای اولین بار در پاییز ۹۸، شروع به تست یک مکانیزمی کرد که باعث میشد تا امنیت اپلیکیشنهای بانکی تامین شود و از تغییر Code Sign آنها جلوگیری شود.
هدف اصلی اناردونی از این کار، جلوگیری از سواستفاده اشخاص ثالث از اپلیکیشنهای داخل اناردونی و تغییر Code Sign اپلیکیشنها و انتشار اپهای پولی توسعهدهندگان ایرانی داخل اناردونی بود. این روش بدون دخالت توسعهدهنده انجام خواهد شد و یک لایه لایسنس محافظتی اضافه بر روی تمهیدات تیم توسعهدهنده ایجاد خواهد کرد تا سدی محکمتر در برابر کرک شدن و انتشار رایگان برنامه خارج از پروسه فروش و درآمد توسعهدهنده داشته باشد.
اگر بخواهیم به شکل ساده به قضیه نگاه کنیم، هنگامی که شما درخواست نصب اپلیکیشنی را به اناردونی ارسال میکنید، پس از ساین شدن فایل iPA اپلیکیشن، یک Framework جهت چک کردن Code Sign اپلیکیشن، داخل فایل iPA قرار داده میشود.
هربار شما اپلیکیشن را باز میکنید، فریمورکی که داخل اپلیکیشن قرار گرفته است، Code Sign اپلیکیشن را بررسی میکند و اگر تغییر کرده باشد به شما اجازه استفاده از آن اپلیکیشن را نمیدهد
این پروسه به صورت آفلاین و بر روی دیوایس شما صورت میگیرد. توجه داشته باشید که اناردونی به هیچگونه اطلاعات دیگری از کاربران دسترسی ندارد و طبق درخواست توسعهدهندگان، این ویژگی میتواند برای اپلیکیشن آنها فعال یا غیرفعال شود. در آیندهای نزدیک، پنل توسعهدهندگان اناردونی نیز بروزرسانی خواهد شد و این امکان را توسعهدهندگان میتوانند داخل پنل خود مدیریت کنند.
پس از گذشت ۳ ماه، اکنون در زمستان ۹۸ این مکانیزم از حالت بتا خارج شده و برای کلیه اپلیکیشنهای موجود در اناردونی به صورت پیش فرض فعال است.
در صورت وجود هرگونه ابهام یا سوال میتوانید با پشتیبانی اناردونی در ارتباط باشید…
