Mobile Apps geben Ihre API-Schlüssel preis: Wie sie es verhindern können

Fest kodierte API-Schlüssel in mobilen Apps können leicht extrahiert werden

Eine aktuelle BeVigil-Studie über mobile Apps ergab, dass in rund 0,5% der mobilen Apps API-Schlüssel leicht zugänglich sind (Schwerpunkt der Studie: AWS-Schlüssel). Diese niedrige Prozentzahl hört sich nicht nach allzu vielan, aber die Studie lässt vermuten, dass mehr als 100 Millionen Benutzer weltweit potenziell betroffen sein könnten, da selbst beliebte Apps mit mehr als 10 Millionen und sogar 100 Millionen Installationen zu den analysierten mobilen Apps gehören, die positiv auf API-Schlüssellecks getestet wurden.

Der Einsatz von APIs für den Zugriff auf und die Integration externer Dienste ist heutzutage sehr verbreitet und treibt Innovation und Digitalisierung in vielen Bereichen eindeutig voran. APIs, die aus der mobilen App aufgerufen werden, und die API-Schlüssel für den Zugriff auf die zugrunde liegenden Dienste werden von unzähligen Branchen und einzelnen Entwicklern verwendet.

Verlorene API-Schlüssel sind eine große Gefahr

API-Schlüssel, die fest kodiert in mobile Apps eingebettet sind, können leicht entdeckt und offengelegt werden. Sie werden plötzlich zu einem Risiko für ihre Nutzer: Sie können vom böswilligen Hacker oder sogar einem Konkurrenten missbraucht oder verkauft werden, um sich einen Geschäftsvorteil zu verschaffen.

In diesem Fall setzen API-Schlüssel das Unternehmen, seine Rechenzentren, sein internes Netzwerk und natürlich seine Kunden einem hohen Risiko aus, Opfer eines Cyberangriffs zu werden. Die Offenlegung von API-Schlüsseln führt oft genug zu Datenschutzverletzungen, Verletzungen der Privatsphäre und Rufschädigung. Es bedeutet, dass ein „einfaches“ technisches Risiko zu einem hohen Risiko für unternehmen geworden ist. Das bedeutet, dass sich ein „einfaches“ technisches Risiko in ein hohes Risiko für Unternehmen verwandelt hat. Nicht umsonst steht das Cyber-Risiko im Allianz Risikobarometer 2020 an erster Stelle.  In den vergangenen Jahren betrafen API-Schlüssellecks bereits namhafte Unternehmen wie Accenture, Verizon und Uber.

T.A.K schützt API-Schlüssel, die in mobile Apps eingebettet sind

Build38 bietet dem Entwickler verschiedene Möglichkeiten zum Schutz von App-Daten, Zertifikaten, API-Schlüsseln usw. im Ruhezustand (d.h. wenn die Daten sicher auf dem Gerät gespeichert sind) und während der Übertragung.

Das Trusted Application Kit (T.A.K.) von Build38 ermöglicht es Entwicklern, API-Schlüssel mit seiner „File Protector“-Funktionalität bereits während der Entwicklung zu schützen. Dies erlaubt es Entwicklern, API-Schlüssel verschlüsselt mit der App zu übergeben und die App in App Stores zu veröffentlichen. Erst zur Laufzeit werden die API-Schlüssel dann „on the fly“ für die Verwendung in API-Aufrufen entschlüsselt (natürlich ist auch der Entschlüsselungsschlüssel gut geschützt). Zusätzlich wird die App durch Prüfungen der Laufzeitumgebung, Maßnahmen zum Selbstschutz der Anwendung, Prüfungen auf die Verwendung von Hacking-Frameworks usw. geschützt.

Alles in allem stellt Build38 sicher, dass die App vollständig geschützt ist und in einer sicheren Umgebung läuft, ihre Daten sicher sind und die Nutzer der App beruhigt sein können.