OWASP 类别: MASVS-PLATFORM:平台交互
概述
许多移动应用使用外部 API 提供功能。传统上,使用静态令牌或密钥来验证连接到服务的应用。
但是,在客户端-服务器设置(或移动应用和 API)的上下文中,使用静态密钥通常不被认为是访问敏感数据或服务的安全身份验证方法。与内部基础设施不同,任何人都可以访问外部 API,如果他们有权访问此密钥,则可能会滥用该服务。
例如,静态密钥可能被从应用中反向工程或在移动应用与外部 API 通信时被拦截。静态密钥也更有可能在应用中被硬编码。
当未使用足够安全的身份验证和访问控制时,会对 API 数据和服务造成风险。
当使用静态密钥时,攻击者可以通过重放请求或使用(拦截或反向工程的)密钥构建新请求来利用 API,而无需任何时间限制。
影响
如果开发人员正在为 AI 或 ML API 服务付费,那么攻击者可以相对轻松地窃取此密钥,并在其服务上产生债务或使用它来创建虚假内容。
存储在 API 上的任何用户数据、文件或 PII 都将免费提供,从而导致有害的泄露。
攻击者还可能利用此访问权限进行欺诈、重定向服务,并在极少数情况下完全控制服务器。
缓解措施
有状态 API
如果应用提供用户登录或能够跟踪用户会话,我们建议开发人员使用像 Google Cloud 这样的 API 服务,以便与其应用进行有状态集成。
此外,使用 API 服务提供的安全身份验证、客户端验证和会话控制,并考虑使用动态令牌作为静态密钥的替代方案。确保令牌在合理的时间内过期(1 小时很常见)。
然后,应使用动态令牌进行身份验证以提供对 API 的访问权限。这些指南 展示了如何使用 OAuth 2.0 实现此目的。除了这些指南之外,还可以进一步增强 OAuth 2.0 以通过实施以下功能来减少 Android 应用中的漏洞。
实施正确的错误处理和日志记录
- 以优雅的方式处理 OAuth 错误,并将其记录以进行调试。
- 减少的攻击面也有助于识别和解决可能出现的任何问题。
- 确保记录或呈现给用户的任何消息都清晰明了,但不要包含对攻击者有用的信息。
在应用中安全配置 OAuth
- 将
redirect_uri
参数发送到授权和令牌端点。 - 如果您的应用使用 OAuth 与第三方服务进行身份验证,请配置跨源资源共享(CORS)以限制对应用资源的访问。
- 这将有助于防止未经授权的跨站点脚本(XSS)攻击。
- 使用 state 参数来防止CSRF 攻击。
使用安全库
其他身份验证方法(包括 Firebase 和 Google ID 令牌)在OpenAPI 文档中进行了描述。
无状态 API
如果 API 服务未提供前面推荐的任何保护措施,并且需要在没有用户登录的情况下进行无状态会话,开发人员可能需要提供自己的中间件解决方案。
这将涉及在应用和 API 端点之间“代理”请求。一种方法是使用JSON Web 令牌(JWT)和JSON Web 签名(JWS),或提供前面推荐的完全认证的服务。这提供了一种在服务器端而不是在应用程序(客户端)中存储易受攻击的静态密钥的方法。
在移动应用程序中提供端到端无状态解决方案存在固有的问题。一些最关键的挑战是客户端(应用)的验证以及在设备上安全地存储私钥或密钥。
Play Integrity API 提供了对应用程序和请求完整性的验证。这可以缓解某些可能滥用此访问权限的情况。至于密钥管理,在许多情况下,密钥库 是存储私钥的最佳安全位置。
一些移动应用程序使用注册阶段来检查应用程序的完整性并使用安全交换提供密钥。这些方法很复杂,不在本文档的讨论范围之内。但是,云密钥管理服务 是一种潜在的解决方案。