Cyber Shelf

// Comparaison

iOS Application Security vs The Mobile Application Hacker's Handbook : lequel lire ?

Deux livres de cybersécurité sur Mobile, comparés honnêtement : à qui s'adresse chacun, ce que chacun fait de mieux, et lequel lire en premier.

Intermédiaire
3/52016
iOS Application Security

The Definitive Guide for Hackers and Developers

David Thiel

David Thiel sur attaquer et défendre les apps iOS : sandbox plateforme, surfaces IPC, sémantique keychain, sécurité du transport et les patterns qui introduisent de vrais bugs.

Intermédiaire
3/52015
The Mobile Application Hacker's Handbook

Dominic Chell, Tyrone Erasmus, Shaun Colley, Ollie Whitehouse

La référence de Chell, Erasmus, Colley et Whitehouse sur la sécurité applicative iOS et Android du début-mi 2010s — runtime hooking, sécurité du transport, abus IPC et la surface plateforme-spécifique du pentest mobile.

À lire si

Pentesters sécurité mobile et développeurs iOS qui ont besoin d'un guide pratique sur la surface de sécurité de la plateforme. Thiel couvre le sandbox, le Keychain, le runtime, le code signing et la classe typique d'erreurs que les apps iOS expédient.
Pentesters mobiles qui veulent les fondations structurelles de la discipline — quelle surface existe, où vivent typiquement les bugs, comment les plateformes diffèrent dans leurs défauts. Les chapitres taxonomie et méthodologie vieillissent plus lentement que le tooling spécifique.

À éviter si

Lecteurs voulant les spécificités iOS actuelles (post-2018). Le livre précède des changements significatifs de la plateforme Apple (App Tracking Transparency, modèle d'entitlement moderne, modern keychain access groups) ; les principes se transfèrent, les spécificités non.
Lecteurs ayant besoin de la technique actuelle sur App Attest, DeviceCheck, clés liées biométrie, contournement pinning moderne, instrumentation runtime récente (classe Frida) ou la réalité cross-plateforme (React Native, Flutter, Capacitor). La publication 2015 se voit dans chaque chapitre.

Points clés

  • La plupart des vulnérabilités d'apps iOS sont au niveau app, pas au niveau plateforme ; le cadrage du livre s'aligne avec ce que les vrais pentests trouvent.
  • L'usage incorrect de keychain et le stockage non sécurisé sont encore les findings dominants sur les vrais engagements ; le chapitre du livre là-dessus est le cœur pratique.
  • Frida et Objection ont largement remplacé le tooling d'introspection runtime plus ancien décrit ici ; le workflow se traduit, les outils ont évolué.
  • La structure défauts-et-pièges-par-plateforme est durable : le modèle de sécurité de chaque plateforme se comprend encore le mieux à travers le même prisme que le livre utilise.
  • IPC, deep-link et surface inter-app restent les surfaces d'attaque mobile au plus haut rendement, même si les APIs spécifiques ont changé.
  • Couplez chaque chapitre avec du matériel OWASP MASTG / MASVS actuel ; la carte conceptuelle est la valeur du livre, le tooling spécifique non.

Comment ils se comparent

iOS Application Security et The Mobile Application Hacker's Handbook sont tous deux notés 3/5 dans notre catalogue. Choisissez selon vos préférences thématiques et de style, plutôt que sur la note.

Les deux livres ciblent un public de niveau intermédiaire : le choix se fait sur la thématique, pas la difficulté.

iOS Application Security et The Mobile Application Hacker's Handbook couvrent tous les deux Mobile, AppSec : les lire dans l'ordre renforce les mêmes notions sous des angles différents.

Continuer la lecture

iOS Application Security

Alternatives à iOS Application SecurityQue lire après iOS Application Security

The Mobile Application Hacker's Handbook

Alternatives à The Mobile Application Hacker's HandbookQue lire après The Mobile Application Hacker's Handbook

Thématiques liées

MobileAppSec