Разработка защищённого кроссплатформенного SDK для биометрической аутентификации (Android/iOS,WV)

Цель проекта:
Создание SDK для мобильных платформ Android и iOS, реализующего безопасную биометрическую аутентификацию пользователя через WebView (включая детекцию лица и liveness-распознавание). SDK должен обеспечивать высокий уровень защиты от реверс-инжиниринга, атак на WebView, подмены окружения и сетевых угроз.

WebView-обёртка:
Для Android: Custom Chromium WebView или GeckoView с отключением небезопасных API (addJavascriptInterface, allowFileAccess и т.д.), CSP-защита, белый список доменов, контроль загрузок через shouldInterceptRequest.
Для iOS: WKWebView с ограниченным NavigationDelegate, включённой App Transport Security (ATS), строгой CSP и запретом небезопасных соединений.

Web-интерфейс биометрии:
Интеграция готового биометрического интерфейса (например, FaceTec) или использование собственной реализации.
Весь UI изолирован в WebView, вся проверочная логика реализуется в SDK.

Механизмы защиты окружения:
Runtime Environment Risk Scoring: анализ признаков эмуляции, рута/джейлбрейка, подмены WebView, перехвата сетевых соединений, хука (Frida/Xposed) и т.д.
При превышении порога риска — блокировка SDK, логирование, возможное завершение работы приложения.Требования к защите от атак:
Защита от реверс-инжиниринга:
Обфускация с использованием DexGuard/iXGuard, защита C/C++ кода через NDK/JNI.
Self-verification (проверка подписи, bundle ID, целостности ресурсов).
Anti-debugging (ptrace, runtime integrity checks).

Защита от сетевых угроз:
SSL pinning (сертификат/публичный ключ), блокировка HTTP-соединений, валидация цепочки сертификатов.
Проксирование WebView-запросов через backend-API (чтобы исключить прямую авторизацию через WebView).
CSP, Referrer Policy, X-Frame-Options и X-Content-Type-Options в заголовках и HTML.

Защита WebView:
Блокировка загрузки стороннего контента.
Сканирование на XSS/CSRF/Content Injection.
Предобработка HTML/JS перед встраиванием в SDK.

Ожидаемые результаты:
Полностью рабочий SDK с кроссплатформенной реализацией (Android и iOS).
Интеграция механизма защиты среды исполнения с возможностью настройки порогов блокировки.
Подробная техническая документация:
Архитектурные схемы
Чек-лист реализованных мер защиты
Интеграционные инструкции
Руководство по использованию SDK

Финальный отчёт по внутреннему пентесту SDK:
Проверка на реверс-инжиниринг, SSL-bypass, WebView-инъекции, dynamic instrumentation и т.д.
Желательно, если у исполнителя есть:
Опыт разработки SDK под Android и/или iOS
Практика работы с защитой мобильных приложений (анти-фрод, анти-хук, обфускация)
Навыки работы с WebView на уровне системных настроек безопасности
Понимание принципов безопасной сетевой архитектуры и mobile threat modeling

Формат сотрудничества:
Проектная работа
Предпочтительно: сдача поэтапно (архитектура → WebView-обёртка → защита среды → финализация и тестирование)
Возможность технической поддержки по интеграции SDK с мобильными приложениями клиента