Datenspeicherung in Android und iOS

Datenspeicherung in Android und iOS

In unserem letzten Artikel haben wir über die sichere Kommunikation mit SSL geschrieben.

Aus diesem Grund schauen wir uns heute ein anderes wichtiges Thema in diesem Bezug an.

Wie sieht das eigentlich mit dem Speichern von Daten in einer mobilen Anwendung aus?

Die Datenspeicherung ist ein weitreichendes Thema. In den nachfolgenden Kapiteln und Artikeln gehen schauen wir uns alle Themen in Ruhe an. Hier sind Android und iOS unterschiedlich, wenngleich auch einige Gemeinsamkeiten bestehen.

Datenspeicherung in iOS

  • Screenshots als Gefahrenquelle in iOS,
  • Web Cache in iOS,
  • Local Storage in iOS,
  • User Preferences in iOS,
  • Schlüsselbund (Keychain) in iOS,
  • Datenschutz API in iOS

Datenspeicherung in Android

  • Screenshots als Gefahrenquelle in Android
  • Web Cache in Android
  • Interner Speicher in Android

Wir planen diese Artikelserie mit 9 Beiträgen und in der Regel veröffentlichen wir einen neuen Beitrag an jedem Dienstag.

Als erstes Schreiben wir über Screenshots als Gefahrenquelle in iOS und Screenshots als Gefahrenquelle in Android.

Warum ist Datenspeicherung relevant?

Es empfiehlt sich darüber nachzudenken werden, welche sensiblen Daten auf dem Gerät gespeichert werden, da diese für einen Angriff verfügbar sind. Idealerweise sollten sensible Informationen (einschließlich Passwörter, Verschlüsselungsschlüssel, API-Schlüssel, Kreditkartendaten etc.) entweder vom Server gespeichert und empfangen oder vom Nutzer bei Bedarf eingegeben werden. Auf diese Weise gewinnt ein Angreifer nichts Wertvolles, wenn er die Daten einer Anwendung einsieht.

Der Schutz aller sensiblen Daten ist oft eine schwierige Aufgabe, da das Gerät Datenzugriff protokolliert oder in einem Cache speichert und wir das nicht zwangsläufig unter Kontrolle haben. Um sicherzustellen, dass alles in Betracht kommt, stellen wir im späteren Verlauf dieser Artikelserie eine Checkliste der Dinge zur Verfügung, die einen besseren Umgang mit Daten beabsichtigt.

Ebenfalls gibt es viele Informationen und Daten, die sich nicht direkt auf den Nutzer beziehen, sondern auf Ihr Unternehmen bzw. dem Entwickler der Anwendung. Diese Informationen stehen einem Angreifer in jedem Fall zu Verfügung. Eine Anwendung IPA (iOS) oder APK (Android) ist technisch erstmals nichts anderes als eine ZIP-Datei, die sich mit jedem herkömmlichen ZIP-Programm entpacken lässt.

Allgemeine Hinweise zur Datenspeicherung in mobilen Anwendungen

Stellen Sie sicher, dass in der Anwendung keine sensiblen Daten wie private Schlüssel, E-Mail Adressen, Passwörter oder ähnliches in die Anwendung mitgespeichert werden.

Gelegentlich benötigt eine Anwendung Zugriff auf einen API-Schlüssel. Sind diese empfindlich so sollten Sie einen Proxy-Dienst erstellen, um auf den Webdienst zugreifen zu können. Mit diesem Ansatz ist der API-Schlüssel nur auf dem Proxy-Dienst verfügbar und die von uns verwendeten normalen Authentifizierungstechniken können verwendet werden, um den Benutzer bzw. die mobile Anwendung auf den Proxy zu authentifizieren.

Keinen Artikel aus der Serie verpassen!

Melde dich jetzt zu unserem Newsletter an, um keinen einzigen Artikel aus der Serie zu verpassen.

Du kannst dich auch jederzeit wieder abmelden.

Wir schicken dir Updates zu unseren Artikeln am Dienstag und Donnerstag.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.