L'app nativa sta inviando l'UDID al fornitore di servizi per ricevere notifiche push tramite APNS. Come è possibile evitare che le richieste manomesse (UDID modificato) vengano elaborate dal fornitore di servizi?
Scenario: un utente malintenzionato può modificare l'UDID della richiesta inviata al fornitore di servizi, in modo da riempire il dispositivo vittima con notifiche push non necessarie.
In primo luogo, non è l'UDID che viene inviato la maggior parte del tempo, è un "token dispositivo" opaco specifico per l'utilizzo di quel particolare servizio push da parte di quel dispositivo. Lo puoi vedere in documentazione per le notifiche push .
Secondo questa documentazione , la connessione ad Apple è autenticata e criptata tramite TLS. È solo se la tua chiave privata è compromessa dal fatto che qualcuno possa registrare dispositivi o inviare notifiche push per conto del tuo servizio. Inoltre, attraverso alcune procedure non documentate, il lato Apple del servizio sta monitorando tale abuso.