Sicherheit innerhalb App

Dieses Thema im Forum "Android App Entwicklung" wurde erstellt von rednose84, 12.03.2012.

  1. rednose84, 12.03.2012 #1
    rednose84

    rednose84 Threadstarter Neuer Benutzer

    Beiträge:
    5
    Erhaltene Danke:
    0
    Registriert seit:
    10.02.2012
    Hallo zusammen,
    vielleicht wurde diese Frage schon Millionen - Mal gestellt. Die Forensuche half mit dennoch leider noch nicht weiter. Ggf. könnt Ihr den Thread auch einfach schließen mit Hinweis aud Lösung / anderen Post.

    Zum Thema: Ich werde eine App - entwickeln müssen, die u.a. eine Authentifizierung mittels eines Webservice (.NET WCF REST Service) vornimmt.

    Erste kurze Frage: Genügt hier eine Kommunikation über SSL? Gibt es schwachstellen?

    Weiterhin möchte ich natürlich meinen WebService so gut wie es eben geht und notwendig ist vor entsprechenden Attacken schützen. Hierzu sei gesagt das ich auch gerne Anwendungslogs über einen "Logging - Service" schicken möchte.

    Zweite Frage: Wie kann ich "Attacken" verhindern?

    Danke schon mal und vg
    rednose
     
  2. DieGoldeneMitte, 12.03.2012 #2
    DieGoldeneMitte

    DieGoldeneMitte Android-Lexikon

    Beiträge:
    1,230
    Erhaltene Danke:
    256
    Registriert seit:
    05.02.2010
    Phone:
    Nexus 5X
    Tablet:
    Nexus 7 (2013)
    Eins vorneweg: SSL hat nichts aber auch garnichts mit (User)Authentisierung zu tun. SSL liefert lediglich eine Transportverschlüsselung und wenn man es richtig macht eine Host-Authentisierung via Zertifikatsaustausch.

    Und ja, es gibt Schwachstellen. In der Regel geht es dabei um MitM Attacken gegen unsichere Zertifikatsprüfung oder auch gegen alte TLS Varianten. In Einzelnen zu erklären, was das ist und wie das geht, würde den Rahmen eines Android Forum Artikel sprengen, da bist du in Netzwerk/Sicherheits-Foren besser aufgehoben.

    Attacken verhindern ist unmöglich. Du kannst bestenfalls verhindern, dass die Attacken erfolgreich sind. :D
     
    rednose84 bedankt sich.
  3. rednose84, 12.03.2012 #3
    rednose84

    rednose84 Threadstarter Neuer Benutzer

    Beiträge:
    5
    Erhaltene Danke:
    0
    Registriert seit:
    10.02.2012
    Hi,

    und wie sieht es mit Sicherheit innerhalb einer App aus? Ich habe gelesen, dass Apps so wie auch andere compilierte Programme zu decompilieren sind. Ist es so nicht dann auch möglich, überhaupt die Webservice - Adressen herraus zu bekommen? Sollte solch ein Szenario mit betrachtet und verhindert werden?

    Gibt es sichere "Bereiche" àlla SecureStore / KeyChain oder ähnliches, wo man configurationsdaten "sicher" ablegen kann?

    VG
     
  4. Kranki, 12.03.2012 #4
    Kranki

    Kranki Ehrenmitglied

    Beiträge:
    3,831
    Erhaltene Danke:
    814
    Registriert seit:
    19.07.2009
    Tablet:
    Samsung Galaxy Tab 3 7.0 Lite
    Wenn die Sicherheit deines Webservice davon abhängt, dass keiner weiß, was die Adresse des Servers ist, dann hat dein Webservice keine Sicherheit.

    Ja, das geht. Du kannst das mit einem Obfuscator einschränken (ProGuard ist beim SDK dabei), aber letztendlich nicht verhindern. Insbesondere verbirgt ProGuard nicht den Wert von String-Konstanten.

    Ich nehme an, das hier ist für dich auch noch interessant: http://developer.android.com/guide/practices/security.html
    Da wird auch auf sichere Speicherung von Daten und Schlüsseln eingegangen.
     
    Zuletzt bearbeitet: 12.03.2012
  5. rednose84, 12.03.2012 #5
    rednose84

    rednose84 Threadstarter Neuer Benutzer

    Beiträge:
    5
    Erhaltene Danke:
    0
    Registriert seit:
    10.02.2012
    Ich würde da eher einen Schritt weiter gehen und meine eben nicht nur die URL (die Existenz ansich, sondern eben auch etwaige Aufrufparamter, Key's oder der gleichen) die mitgesendet werdenmpssen, um die App an dem WebService zu authentifizieren. URL soll hier nur ein Synonym sein für alle relevanten Daten die benötigt werden, um den Webservice - Aufruf auch ohne App zu gestalten.

    Grundsätzlich gebe ich dir in deiner Aussage natürlich Recht. Der Webservice ansich wird schon geischert werden. Wobei ich da auch noch nach BestPractise suche. Aber das ist ein anderes Thema.

    Danke Gruß
     
  6. Kranki, 13.03.2012 #6
    Kranki

    Kranki Ehrenmitglied

    Beiträge:
    3,831
    Erhaltene Danke:
    814
    Registriert seit:
    19.07.2009
    Tablet:
    Samsung Galaxy Tab 3 7.0 Lite
    Verhindern kannst du das letztendlich nur, wenn die Authentifizierung über ein vom Benutzer einzugebendes Passwort läuft, was natürlich unkomfortabel ist.
    Mit einem Root-Exploit und einem Decompiler ist da an sich nichts sicher, was das Gerät für sich entschlüsseln kann.

    Die Frage ist halt, ob man da nicht mit Kanonen auf Spatzen schießt. Irgendwelche Access-Token zu speichern ist eigentlich gängig.
    Direkt Passwort-geschützt ist eigentlich nur meine Homebanking-App.
     
    Zuletzt bearbeitet: 13.03.2012

Diese Seite empfehlen