Detección de Swizzling

El MAD supervisa el runtime de iOS para identificar intentos de method swizzling, una funcionalidad de Objective-C que permite la sustitución de la implementación de métodos en tiempo de ejecución. Aunque legítima en algunos contextos de desarrollo, esta técnica puede ser explotada por atacantes para alterar comportamientos críticos de la aplicación, incluidos mecanismos de seguridad, sin modificar directamente el binario.

Este tipo de ataque se observa con frecuencia en escenarios de jailbreak o instrumentación maliciosa, permitiendo la intercepción de llamadas a la API, la desviación de flujos de validación y la manipulación silenciosa de la lógica de la aplicación, con potencial exposición de datos sensibles.

Mecanismo Técnico: El MAD verifica la integridad del runtime de clases y métodos sensibles, identificando cambios anómalos en la forma en que los métodos se resuelven y ejecutan. Al detectar que una implementación legítima ha sido reemplazada o redirigida de manera no autorizada, el MAD clasifica el entorno como comprometido y activa las políticas de protección configuradas y registra el evento en el Command Center, garantizando que el comportamiento original y legítimo de la aplicación no sea adulterado.