Tôi có nên làm xáo trộn bí mật người dùng OAuth được ứng dụng Android lưu trữ không?

Question

Ứng dụng Android của tôi chứa bí mật người dùng OAuth cho API của Twitter. Hiện tại, tệp này ở dạng .properties tệp ở dạng văn bản thuần túy, vì vậy, sẽ không mất nhiều công sức để ai đó tìm kiếm trong APK.

Tôi có nên thực hiện các bước để làm mờ nó (như, rot13 hoặc được lưu trữ trong mã Java bị xáo trộn) không? Hay tôi thực sự nên tránh làm bất cứ điều gì, vì nó sẽ tạo ra cảm giác an toàn sai lầm?

Mọi người thường phân phối/lưu trữ bí mật OAuth trong ứng dụng Android như thế nào? Thông thường bí mật bị đánh cắp và lạm dụng là gì?

Answer 1

Câu hỏi thực sự là những gì hiện kẻ tấn công có được từ ăn cắp nó ...

Bạn nên cố gắng hết sức để bảo vệ bí mật nhưng cuối cùng, một hacker có động lực cao luôn có thể có được nó trong một ứng dụng được cài đặt. Vì vậy, đó là giá trị của bí mật so với khó khăn của khai thác.

Giá trị của bí mật ứng dụng đang mạo danh ứng dụng. Nó không cung cấp quyền truy cập vào dữ liệu người dùng. Tuy nhiên, vì Twitter hỗ trợ tự động cấp chứng chỉ cho các ứng dụng đã được phê duyệt trước đó (đăng nhập bằng luồng Twitter), kẻ tấn công có thể tạo ứng dụng web với bí mật và lấy cắp dữ liệu người dùng của bạn bằng cách sử dụng chuyển hướng mù.

Vấn đề với việc triển khai của Twitter là họ không hỏi nhà phát triển về bản chất của ứng dụng. Nếu họ đã làm, họ sẽ không đưa cho bạn một bí mật để bắt đầu, và sẽ chặn bất cứ ai xây dựng một ứng dụng web bằng cách sử dụng thông tin khách hàng của bạn và ăn cắp dữ liệu từ những người dùng đã chấp thuận nó.

Làm xáo trộn là một tùy chọn, nhưng là một tùy chọn yếu. Di chuyển bí mật đến máy chủ web hoạt động như một proxy API là một proxy khác, nhưng điều đó chỉ di chuyển vấn đề ở nơi khác vì bây giờ ứng dụng của bạn phải xác thực với máy chủ proxy. Tuy nhiên, mẫu này có thể an toàn hợp lý nếu bạn yêu cầu người dùng đăng nhập vào trang web của bạn (có thể sử dụng, thông qua lượt xem web, Twitter để đăng nhập). Bằng cách này, ai đó đang cố gắng lạm dụng proxy của bạn sẽ cần người dùng của họ mở tài khoản trên dịch vụ của bạn, điều này không hấp dẫn lắm.

Tóm lại, hãy tiếp tục và làm xáo trộn nó. Nó không đau. Cân nhắc sử dụng mẫu proxy. Và có thể cho Twitter biết chính sách bảo mật của họ "không tuyệt vời".

Answer 2

Điểm chính của 0Auth là bạn không lưu trữ bất kỳ thông tin nhạy cảm quý giá nào trên thiết bị - để lưu trữ bí mật trên thiết bị (tốt hơn là thông tin xác thực người dùng thực). Trong trường hợp bí mật thiết bị của bạn bị đánh cắp, người dùng luôn có thể vô hiệu hóa quyền truy cập mà không cần phải thay đổi thông tin đăng nhập của mình

Answer 3

Tôi chắc chắn sẽ đọc this analysis bởi một trong những tác giả OAuth, Eran Hammer-Lahav, trích dẫn một số khác article dissecting Twitter's OAuth secret problems.

Lời khuyên của tôi sẽ là làm xáo trộn khóa để nó không thể được trích xuất một cách bình thường và bạn nên an toàn với các vũ công và người gửi spam.

Ý kiến ​​của Hammer-Lahav là không nên thu hồi bí mật OAuth và chỉ nên sử dụng để thu thập số liệu thống kê. Hy vọng rằng Twitter đang theo lời khuyên này.