Nell'attuale OWASP MASVS (a partire da ora v0.9.3) possiamo trovare il seguente requisito per MASVS-L2 in Requisiti di verifica della sicurezza :
MASVS 1.12:
"Remote endpoints verify that connecting clients use an up-to-date version of the mobile app."
Mi chiedo quanto sia centrale il punto su "l'endpoint che verifica i [...] clienti". Ad esempio, se un client esegue un controllo di versione tramite chiamata di servizio, sarebbe sufficiente ai tuoi occhi? (Il client chiama un servizio che gli dice "la versione minima richiesta" e il client può quindi forzare un aggiornamento se necessario.)
Per come la vedo io, se il client è compromesso, non possiamo davvero fidarci di qualsiasi informazione che invia all'endpoint (come il suo numero di versione per un controllo sul lato server come proposto da MASVS 1.12). E se il client è non compromesso, allora non dovrebbe importare se il controllo della versione è effettivamente fatto lato client invece che lato server, giusto?