Сегодня вторник, а это значит пора поговорить про секурность в приложениях.
А как у вас с этим обстоят дела?
🤔
18.5% Занимается core команда🤔
22.2% Сам практикую🤔
8.0% Есть планы на это🤔
51.2% Не понимаю о чем вы :/Окей. Вижу что половина не в курсе или не считает это важным. Давайте разбираться
Любая задача начинается с проблемы, которую нужно решить или метрик, которые нужно улучшить. Задача ради задачи - так себе подход. Для старта нужно понять, а есть ли проблема и на сколько она критична.
Про SSL-пиннинг в 2022 году, думаю не стоит даже говорить. Это и так понятно что пренебрегать глупо. Вопрос в том на сколько ваш CA (certificate authorit) надежен и поддерживается устройством
И так , какие проблемы мы решает с помощью секурности:
- хранение на устройстве сенсатив персональных данных..
- хранение токенов и паролей
- безопасная передача секретной инфы на сервер по не защищенным каналам ( SSL это не решает )
Какие есть решение ? Шифрованием AES/ RSA с хранением ключей на устройстве. Тут же есть проблема в том, что из устройства можно вытащить все, даже из StrongBox. Все зависит от бюджета и цели
Второе решение - не хранить ничего очень важного на самом устройстве. Если уж нужно передавать, то шифровать поверх https/wss. Но тут тоже есть свои "дырки".
Кстати, интересно кто как решает проблему AES ключей на API < 23 ?
🤔
21.4% Шифрую через RSA🤔
7.1% Base64 в SharedPref🤔
50.0% Мигрировал на api 23🤔
21.4% Свой вариантОкей, шифрованием мы можем частично решить или сделать сложнее процесс вытягивания данных из устройства. А что на счет хранения api key? Часто рекомендуют прибегнуть к NDK или github.com/google/secrets…
Это, опять же, только усложнит процесс вытаскивания api key.
Если вам очень важно что бы утечка не произошла и эти данные могут быть причиной финансовых потерь для пользователей - стоит запрещать пользоваться root-ованым устройствам. Правда, проверить это на 100% невозможно
Хочу поделиться отличным ТГ каналом на тему кекурности t.me/android_guards…
И немного полезных ресурсов:
- romainthomas.fr/post/20-09-r2c…
- mobile-security.gitbook.io/mobile-securit…
- github.com/Android-Guards…
- github.com/doridori/Andro…
Тему в рамках твиттера раскрыть полностью не получилось. Очень много тем не задето и так мало по настоящему годных докладов по секурности.
Стремитесь к созданию еще более безопасных для пользователей приложений.
Не плохо могут помочь тулзы
github.com/OWASP/owasp-ms…
github.com/MobSF/Mobile-S…
github.com/m0bilesecurity… 😎
И конечно, как же без книг:
"Прикладная криптография" Брюс Шнайер
"Книга шифров" Саймон Сингх
И отличный доклад
youtu.be/dvTrEcV6Ajs
Еще один тг по теме t.me/paradisecurity . Жаль, что с сентября нет новых постов. ( Надеюсь Ольга прочитает этот твит и возобновит посты )
Виталий Раевский