App-Sicherheit in der App-Entwicklung
Sicherheitslücken in Applikationen vermeiden
Online-Banking, Kennwörter, persönliche Daten – heute geben wir relativ bedenkenlos sensibelste Daten in die Formularfelder von Smartphone-Apps oder Web-Applikationen ein. Neben Apps, die aktiv Daten abfischen und damit in den Bereich Cyberkriminalität fallen, spielt auch die Sicherheit seriöser Apps eine immer wichtigere Rolle.
Als Agentur für App-Entwicklung fühlen wir uns für die Sicherheit unserer Apps verantwortlich. Wir haben uns ausführlich mit dem Thema App-Sicherheit befasst und sind auf sechs Bereiche gestoßen, denen wir bei der Entwicklung einer sicheren App besondere Aufmerksamkeit schenken:
Sicherheitsrelevante Bereiche in der App-Entwicklung
1. Datenspeicherung
Häufig werden sensible Nutzerdaten wie Benutzername, Kennwörter oder Adressen mit Drittanbietern geteilt. Das sollte niemals ohne die aktive Einwilligung des Users und nur bei absoluter Notwendigkeit geschehen. Sensible Nutzerdaten sollten außerdem nicht im Log der Applikation auftauchen und ebenfalls niemals in Backups mit weiteren Daten gesichert werden.
Passwörter und PINs dürfen bei der Nutzung der App nur verschlüsselt dargestellt werden. In Keystore oder Keychain sind diese Daten sicher aufgehoben, so dass z.B. die Möglichkeit besteht, in der App angemeldet zu bleiben.
Kaum jemand weiß, dass der Cache der Tastatur benutzerseitig deaktiviert werden muss, damit Speicherinhalte nicht ausgelesen werden können. Der Cache der Applikation sollte generell in regelmäßigen Abständen gelöscht werden.
2. Daten "on Air"
Daten können von bösartigen Programmen auch aus der Luft abgefangen werden, z.B. über das WLAN eines Netzwerkes. Deshalb sollten Netzwerk-Anfragen nur durch authentifizierte User erlaubt und ausschließlich an vertrauliche Quellen gesendet werden. In öffentlichen Netzwerken (Hotspots u.ä.) können Nutzerdaten durch SSL-Pinning oder Certificate-Pinning geschützt werden. So lassen sich auch „man in the middle“-Attacken verhindern.
3. Authentifizierung & Autorisierung
Heute ist die Authentifizierung für den User dank Face- oder Fingerprint-ID schnell und bequem – allerdings ist diese Barriere leichter zu knacken und weniger robust als ein sicheres Passwort oder eine PIN. Egal wie: Die Barriere „Authentifikation“ bietet dem User ein erhöhtes Sicherheitsgefühl und erzeugt Vertrauen.
4. Integrität
Rooting oder Jailbreaking – dieses beliebte Vorgehen dient eigentlich dazu, Raubkopien von Spielen oder Apps zu installieren oder eingeschränkte Funktionen des Smartphones zu erweitern. De facto machen Rooting oder Jailbreaking den Weg frei für gefährliche Sicherheitslücken. Eine seriöse App sollte den Vorgang erkennen und die Ausführung eigenmächtig abbrechen – auch wenn das Risiko besteht, dadurch User zu verlieren, die die Vorzüge des Rootings oder Jailbreakings nutzen möchten.
5. Sichere App-Logik
Eine App kann „reverse engineered“ werden. Rückwärts konstruieren – darunter versteht man die Analyse und den Nachbau einer Applikation. Raubkopie könnte man es auch nennen. Dieser Vorgang lässt sich durch obfuscating (=vernebeln) verhindern – der Code und dessen Logs werden dadurch unlesbar, die Re-Konstruktion der App wird erschwert bis unmöglich.
6. Dann wäre da noch …
Der Switcher
Switcher – so nennt man den Task-Manager, der verwendet wird, wenn man zwischen aktiven Apps wechselt. Das App-Fenster ist im Switcher zu schützen, wenn vertrauliche Daten darauf zu lesen sind.
User-Berechtigungen
Es versteht sich von selbst, dass eine App nicht mehr Berechtigungen haben sollte, als unbedingt notwendig.
Aktualität
Die App selbst und die Umgebung der App (Betriebssystem und weitere Anwendungen) sollten kontinuierlich auf Stand gehalten werden. Veraltete Systeme, Apps oder Plugins bieten schnell Sicherheitslücken.
Wir machen Ihre App sicher
Als Agentur für App-Entwicklung in Augsburg bieten wir je nach Kundenwunsch verschiedene Sicherheitsstufen für unsere Apps an.
Auch wenn Sie Zweifel an Ihrer eigenen App-Entwicklung haben, stehen wir Ihnen mit Rat und Tat zur Seite. Gerne überprüfen wir Ihre App auf eventuelle Sicherheitslücken und bieten Ihnen ein Sicherheitsupdate zu einem fairen Preis. Sprechen Sie uns einfach an – wir freuen uns auf Ihre Kontaktaufnahme.
Weitere themen
Wie wir eine virtuelle Umgebung aufgesetzt haben.
Den Blick in die Virtuellen Weiten zu wagen gleicht einem Abenteuer und die Fortbewegung einer Herausforderung. In den Welten bewegt man sich nur mit kleinen Schritten.
App Sicherheit
Wir haben ausführlich zum Thema App-Sicherheit recherchiert und sagen, worauf es ankommt.
Hybrid App – ein Code für Android und iOS
Hybrid Apps arbeiten crossplatform und sind günstiger in der Entwicklung. Gibt es auch Nachteile? Wir beleuchten das Pro und Contra.
Kontakt
Sie haben Fragen? Lassen Sie uns über ihr Projekt sprechen.
Sie möchten eine App entwickeln lassen? Ihre App funktioniert nicht optimal? Sie wünschen Informationen zu den Kosten einer App-Entwicklung? Nehmen Sie gerne Kontakt zu uns auf – wir freuen uns!
Tel. +49 (0) 821 8998 4810
