Best practice per l'archiviazione e la protezione di chiavi API private nelle applicazioni [chiuso]

La maggior parte degli sviluppatori di app integrerà alcune librerie di terze parti nelle loro app. Se si tratta di accedere a un servizio, come Dropbox o YouTube, o per arresti anomali della registrazione. Il numero di librerie e servizi di terze parti è sbalorditivo. La maggior parte di tali librerie e servizi sono integrati in qualche modo autenticandosi con il servizio, il più delle volte ciò avviene tramite una chiave API. Per motivi di sicurezza, i servizi di solito generano una chiave pubblica e privata, spesso definita anche segreta. Sfortunatamente, per connettersi ai servizi, questa chiave privata deve essere utilizzata per l'autenticazione e, quindi, probabilmente far parte dell'applicazione. Inutile dire che questo affronta un immenso problema di sicurezza. Le chiavi API pubbliche e private possono essere estratte dagli APK in pochi minuti e possono essere facilmente automatizzate.

Supponendo di avere qualcosa di simile a questo, come posso proteggere la chiave segreta:

public class DropboxService  {

    private final static String APP_KEY = "jk433g34hg3";
    private final static String APP_SECRET = "987dwdqwdqw90";
    private final static AccessType ACCESS_TYPE = AccessType.DROPBOX;

    // SOME MORE CODE HERE

}

Qual è secondo te il modo migliore e più sicuro per archiviare la chiave privata? Offuscamento, crittografia, cosa ne pensi?

1. Allo stato attuale, l'applicazione compilata contiene le stringhe chiave, ma anche i nomi costanti APP_KEY e APP_SECRET. L'estrazione di chiavi da tale codice autocompensante è banale, ad esempio con lo strumento Android standard dx.

2. È possibile applicare ProGuard. Rimarrà invariate le stringhe chiave, ma rimuoverà i nomi delle costanti. Rinominerà anche classi e metodi con nomi brevi e insignificanti, ove possibile. L'estrazione delle chiavi richiede un po 'più di tempo, per capire quale stringa serve a quale scopo.

   Si noti che la configurazione di ProGuard non dovrebbe essere così difficile come si teme. Per cominciare, devi solo abilitare ProGuard, come documentato in project.properties. In caso di problemi con le librerie di terze parti, potrebbe essere necessario eliminare alcuni avvisi e / o impedire che vengano offuscati, in proguard-project.txt. Per esempio:

   -dontwarn com.dropbox.**
   -keep class com.dropbox.** { *; }

   Questo è un approccio a forza bruta; puoi perfezionare tale configurazione una volta che l'applicazione elaborata funziona.

3. Puoi offuscare manualmente le stringhe nel tuo codice, ad esempio con una codifica Base64 o preferibilmente con qualcosa di più complicato; forse anche codice nativo. Un hacker dovrà quindi decodificare staticamente la codifica o intercettare dinamicamente la decodifica nella posizione corretta.

4. È possibile applicare un offuscatore commerciale, come il fratello specializzato DexGuard di ProGuard . Può inoltre crittografare / offuscare le stringhe e le classi per te. L'estrazione delle chiavi richiede ancora più tempo ed esperienza.

5. Potrebbe essere possibile eseguire parti dell'applicazione sul proprio server. Se riesci a tenere le chiavi lì, sono al sicuro.

Alla fine, è un compromesso economico che devi fare: quanto sono importanti le chiavi, quanto tempo o software puoi permetterti, quanto sono sofisticati gli hacker che sono interessati alle chiavi, quanto tempo vorranno spendere, quanto vale un ritardo prima che le chiavi vengano hackerate, in che misura gli hacker di successo distribuiranno le chiavi, ecc. Piccole informazioni come le chiavi sono più difficili da proteggere rispetto a intere applicazioni. Intrinsecamente, nulla sul lato client è infrangibile, ma puoi sicuramente alzare il tiro.

(Sono lo sviluppatore di ProGuard e DexGuard)

Poche idee, secondo me solo la prima dà una garanzia:

1. Conserva i tuoi segreti su alcuni server su Internet e, quando necessario, prendili e usali. Se l'utente sta per utilizzare Dropbox, nulla ti impedisce di effettuare richieste al tuo sito e ottenere la tua chiave segreta.

2. Inserisci i tuoi segreti nel codice jni, aggiungi un po 'di codice variabile per rendere le tue librerie più grandi e più difficili da decompilare. È inoltre possibile dividere la stringa di chiavi in ​​alcune parti e conservarle in vari punti.

3. usa obfuscator, metti anche il codice con l'hash hash segreto e in seguito lo sbricioli quando serve.

4. Inserisci la tua chiave segreta come ultimo pixel di una tua immagine nelle risorse. Quindi, quando necessario, leggilo nel tuo codice. Offuscare il codice dovrebbe aiutare a nascondere il codice che lo leggerà.

Se vuoi dare una rapida occhiata a quanto è facile leggere il tuo codice apk, prendi APKAnalyser:

http://developer.sonymobile.com/knowledge-base/tool-guides/analyse-your-apks-with-apkanalyser/

Un altro approccio è quello di non avere il segreto sul dispositivo in primo luogo! Consulta le tecniche di sicurezza dell'API mobile (in particolare la parte 3).

Usando l'antica tradizione di indiretta, condividere il segreto tra l'endpoint API e un servizio di autenticazione delle app.

Quando il tuo client desidera effettuare una chiamata API , chiede al servizio di autenticazione dell'app di autenticarlo (utilizzando tecniche di attestazione remota avanzate) e riceve un token limitato nel tempo (di solito JWT ) firmato dal segreto.

Il token viene inviato con ogni chiamata API in cui l'endpoint può verificare la propria firma prima di agire sulla richiesta.

Il vero segreto non è mai presente sul dispositivo; infatti, l'app non ha mai idea se sia valida o meno, richiede l'autenticazione e trasmette il token risultante. Come utile vantaggio dell'indirizzamento indiretto, se mai vuoi cambiare il segreto, puoi farlo senza richiedere agli utenti di aggiornare le loro app installate.

Quindi, se vuoi proteggere il tuo segreto, non averlo nella tua app in primo luogo è un buon modo per andare.

Vecchio modo non garantito:

Segui 3 semplici passaggi per proteggere l'API / chiave segreta ( Vecchia risposta )

Possiamo usare Gradle per proteggere la chiave API o la chiave segreta.

1. gradle.properties (Proprietà del progetto): crea una variabile con chiave.

GoolgeAPIKey = "Your API/Secret Key"

2. build.gradle (Modulo: app): imposta la variabile in build.gradle per accedervi in ​​attività o frammento. Aggiungi il codice sottostante per buildTypes {}.

buildTypes.each {
    it.buildConfigField 'String', 'GoogleSecAPIKEY', GoolgeAPIKey
}

3. Accedilo in Attività / Frammento tramite BuildConfig dell'app:

BuildConfig.GoogleSecAPIKEY

Aggiornare :

La soluzione sopra è utile nel progetto open source per eseguire il commit su Git. (Grazie a David Rawson e riyaz-ali per il tuo commento).

Secondo i commenti di Matthew e Pablo Cegarra, il modo sopra descritto non è sicuro e Decompiler consentirà a qualcuno di visualizzare BuildConfig con le nostre chiavi segrete.

Soluzione:

Possiamo usare NDK per proteggere le chiavi API. Siamo in grado di memorizzare le chiavi nella classe C / C ++ nativa e accedervi nelle nostre classi Java.

Segui questo blog per proteggere le chiavi API utilizzando NDK.

Un follow-up su come archiviare i token in modo sicuro su Android

La chiave segreta dell'app deve essere mantenuta privata, ma quando si rilascia l'app possono essere annullati da alcuni ragazzi.

per quei ragazzi non si nasconderà, blocca ProGuardil codice. È un refattore e alcuni offuscatori pagati stanno inserendo alcuni operatori bit a bit per recuperare la jk433g34hg3 stringa. Puoi prolungare di 5-15 minuti l'hacking se lavori 3 giorni :)

Il modo migliore è mantenerlo così com'è, imho.

Anche se si memorizza sul lato server (PC), è possibile hackerare e stampare la chiave. Forse questo richiede più tempo? Comunque è nel giro di pochi minuti o poche ore nel migliore dei casi.

Un utente normale non decompilerà il tuo codice.

Una possibile soluzione è codificare i dati nell'app e utilizzare la decodifica in fase di esecuzione (quando si desidera utilizzare tali dati). Consiglio anche di usare progaurd per rendere difficile la lettura e la comprensione del codice sorgente decompilato della tua app. ad esempio ho inserito una chiave codificata nell'app e quindi ho usato un metodo di decodifica nella mia app per decodificare le mie chiavi segrete in fase di esecuzione:

// "the real string is: "mypassword" "; 
//encoded 2 times with an algorithm or you can encode with other algorithms too
public String getClientSecret() {
    return Utils.decode(Utils
            .decode("Ylhsd1lYTnpkMjl5WkE9PQ=="));
}

Il codice sorgente decompilato di un'app proguarded è questo:

 public String c()
 {
    return com.myrpoject.mypackage.g.h.a(com.myrpoject.mypackage.g.h.a("Ylhsd1lYTnpkMjl5WkE9PQ=="));
  }

Almeno è abbastanza complicato per me. questo è il modo in cui lo faccio quando non ho altra scelta che memorizzare un valore nella mia applicazione. Ovviamente sappiamo tutti che non è il modo migliore ma funziona per me.

/**
 * @param input
 * @return decoded string
 */
public static String decode(String input) {
    // Receiving side
    String text = "";
    try {
        byte[] data = Decoder.decode(input);
        text = new String(data, "UTF-8");
        return text;
    } catch (UnsupportedEncodingException e) {
        e.printStackTrace();
    }
    return "Error";
}

Versione decompilata:

 public static String a(String paramString)
  {
    try
    {
      str = new String(a.a(paramString), "UTF-8");
      return str;
    }
    catch (UnsupportedEncodingException localUnsupportedEncodingException)
    {
      while (true)
      {
        localUnsupportedEncodingException.printStackTrace();
        String str = "Error";
      }
    }
  }

e puoi trovare tante classi di criptatori con una piccola ricerca su google.

Aggiunta alla soluzione @Manohar Reddy, Firebase Database o Firebase RemoteConfig (con valore predefinito Null) può essere utilizzato:

1. Cifra le tue chiavi
2. Conservalo nel database firebase
3. Scaricalo durante l'avvio dell'app o quando necessario
4. decifrare le chiavi e usarlo

Cosa c'è di diverso in questa soluzione?

• nessuna credenziale per firebase
• l'accesso firebase è protetto, pertanto solo le app con certificato firmato hanno il privilegio di effettuare chiamate API
• cifratura / decifratura per prevenire l'intercettazione da uomo di mezzo. Tuttavia chiama già https su Firebase

Questo esempio presenta diversi aspetti. Citerò un paio di punti che non credo siano stati esplicitamente trattati altrove.

Proteggere il segreto in transito

La prima cosa da notare è che l'accesso all'API di Dropbox utilizzando il loro meccanismo di autenticazione dell'app richiede la trasmissione della chiave e del segreto. La connessione è HTTPS, il che significa che non è possibile intercettare il traffico senza conoscere il certificato TLS. Questo per impedire a una persona di intercettare e leggere i pacchetti nel loro viaggio dal dispositivo mobile al server. Per gli utenti normali è un ottimo modo per garantire la privacy del loro traffico.

Ciò a cui non è bravo è impedire a una persona maliziosa di scaricare l'app e ispezionare il traffico. È davvero facile usare un proxy man-in-the-middle per tutto il traffico in entrata e in uscita da un dispositivo mobile. Non richiederebbe il disassemblaggio o il reverse engineering del codice per estrarre la chiave dell'app e segreti in questo caso a causa della natura dell'API Dropbox.

È possibile eseguire il pinning che verifica che il certificato TLS ricevuto dal server sia quello previsto. Ciò aggiunge un controllo al client e rende più difficile intercettare il traffico. Ciò renderebbe più difficile l'ispezione del traffico in volo, ma il controllo degli accessi avviene nel client, quindi sarebbe probabilmente ancora possibile disabilitare il test degli accessi. Rende però più difficile.

Proteggere il segreto a riposo

Come primo passo, l'uso di qualcosa come proguard aiuterà a rendere meno ovvio dove si nascondono segreti. È inoltre possibile utilizzare NDK per archiviare la chiave e il segreto e inviare richieste direttamente, il che ridurrebbe notevolmente il numero di persone con le competenze appropriate per estrarre le informazioni. Ulteriore offuscamento può essere ottenuto non memorizzando i valori direttamente in memoria per un certo periodo di tempo, è possibile crittografarli e decrittografarli appena prima dell'uso come suggerito da un'altra risposta.

Opzioni più avanzate

Se ora sei paranoico nel mettere il segreto ovunque nella tua app e hai tempo e denaro per investire in soluzioni più complete, allora potresti prendere in considerazione la possibilità di archiviare le credenziali sui tuoi server (presumendo che tu ne abbia). Ciò aumenterebbe la latenza di qualsiasi chiamata all'API, poiché dovrà comunicare tramite il server e potrebbe aumentare i costi di esecuzione del servizio a causa della maggiore velocità di trasmissione dei dati.

Devi quindi decidere come comunicare al meglio con i tuoi server per assicurarti che siano protetti. Questo è importante per evitare che tutti gli stessi problemi si ripresentino con l'API interna. La migliore regola empirica che posso dare è quella di non trasmettere alcun segreto direttamente a causa della minaccia man-in-the-middle. Invece puoi firmare il traffico usando il tuo segreto e verificare l'integrità di tutte le richieste che arrivano al tuo server. Un modo standard per farlo è calcolare un HMAC del messaggio digitato su un segreto. Lavoro in un'azienda che ha un prodotto di sicurezza che opera anche in questo campo, motivo per cui questo genere di cose mi interessa. In effetti, ecco a articolo sul blog di uno dei miei colleghi che analizza la maggior parte di questo.

Quanto dovrei fare?

Con qualsiasi consiglio di sicurezza come questo è necessario prendere una decisione in termini di costi / benefici su quanto sia difficile far sì che qualcuno possa entrare. Se sei una banca che protegge milioni di clienti, il tuo budget è totalmente diverso da qualcuno che supporta un'app nella loro tempo libero. È praticamente impossibile impedire a qualcuno di violare la tua sicurezza, ma in pratica poche persone hanno bisogno di tutte le campane e fischietti e con alcune precauzioni di base puoi fare molta strada.

La soluzione più sicura è mantenere le chiavi su un server e instradare tutte le richieste che richiedono quella chiave attraverso il server. In questo modo la chiave non lascia mai il tuo server, quindi fintanto che il tuo server è sicuro, lo è anche la tua chiave. Ovviamente c'è un costo prestazionale con questa soluzione.

Mantenere il segreto firebase databasee ottenerlo all'avvio dell'app, è molto meglio che chiamare un servizio web.

Qualunque cosa tu faccia per proteggere le tue chiavi segrete non sarà una vera soluzione. Se lo sviluppatore è in grado di decompilare l'applicazione, non c'è modo di proteggere la chiave, nascondere la chiave è solo sicurezza per oscurità e lo stesso vale per l'offuscamento del codice. Il problema con la protezione di una chiave segreta è che per proteggerla è necessario utilizzare un'altra chiave e anche quella chiave deve essere protetta. Pensa a una chiave nascosta in una scatola chiusa con una chiave. Metti una scatola dentro una stanza e chiudi la stanza. Ti resta un'altra chiave per proteggere. E quella chiave sarà ancora codificata all'interno dell'applicazione.

Quindi, a meno che l'utente non inserisca un PIN o una frase, non c'è modo di nascondere la chiave. Ma per farlo dovresti avere uno schema per la gestione dei PIN fuori banda, il che significa attraverso un canale diverso. Certamente non pratico per proteggere le chiavi di servizi come le API di Google.

Posta vecchia, ma abbastanza buona. Penso che nasconderlo in una libreria .so sarebbe fantastico, usando NDK e C ++ ovviamente. I file .so possono essere visualizzati in un editor esadecimale, ma buona fortuna decompilando che: P

L'unico vero modo per mantenerli privati ​​è tenerli sul tuo server e fare in modo che l'app invii qualunque cosa sia al server e il server interagisce con Dropbox. In questo modo non distribuisci MAI la tua chiave privata in nessun formato.

Sulla base dell'esperienza amara e dopo aver consultato un esperto IDA-Pro, la soluzione migliore è spostare una parte chiave del codice in una DLL / SharedObject, quindi recuperarla da un server e caricarla in fase di esecuzione.

I dati sensibili devono essere codificati in quanto è molto facile fare qualcosa del genere:

$ strings libsecretlib.so | grep My
  My_S3cr3t_P@$$W0rD