App-Entwicklung & Sicherheit
Aus Sicht des Anwenders
Aus Sicht des Anbieters
- Zugriff auf Backend-Daten
- Kostenpflichtige Funktionen & Inhalte
- Datenerhebung und Auswertung
Was kann ich als Entwickler tun?
Best Practices für App Entwickler
- Secrets (z.B. API-Keys für Zugriffe auf das Backend) gehören nicht in den Code
- Nutzung des Android Keystore / iOS' Secure Enclave für geheime Schlüssel
- Keine eigene Kryptographie
- immer Transport-Verschlüsselung nutzen
Best Practices für App Entwickler
- Logging bei der veröffentlichten App beschränken
- Berücksichtigung der Zugriffsrechte auf gespeicherte Daten
- Absicherung der Backend-Dienste
- Source-Code Obfuscation
Best Practices für App Entwickler
- Überwachung verwendeter Bibliotheken
- Ein Großteil an Sicherheitslücken steckt heutzutage in Bibliotheken
- Werbebibliotheken können bspw. Code im Anwendungskontext ausführen
- Bibliotheken werden gepatcht, Anwendungen jedoch nicht
Best Practices für App Entwickler
- Analyse des Netzwerkverkehr
- z.B. mit Wireshark
- Reverse Engineering der eigenen App
Best Practices für App Entwickler
- Kollegen und Kunden sensibilisieren
- Sicherheit zu einer Anforderung machen
- Über Sicherheit reden