Hoe wij u helpen kwetsbaarheden in uw Android-apps op te lossen

Hoe wij u helpen kwetsbaarheden in uw Android-apps op te lossen


Geplaatst door Bessie Jiang – Software-ingenieur en Chris Schneider – Beveiligingsingenieur

Medewerkers: Maciej Szawłowski – beveiligingsingenieur, Hannah Barnes – technisch programmamanager, Dirk Göhmann – technisch schrijver, Patrick Mutchler – software-ingenieur

Beveiliging is moeilijk, maar essentieel om gebruikers en hun gegevens te beschermen. We zijn er om u te helpen veilige Android-apps te maken met minder kwetsbaarheden, zodat iedereen een veiligere Android-omgeving kan bieden.

Kwetsbaarheidsdetectie – hoe het werkt

Google scant momenteel elke app op Google Play op tientallen veelvoorkomende kwetsbaarheidscategorieën. Als we iets ontdekken, laten we het u weten, zodat u het probleem kunt oplossen. Stel je een penetratietestteam voor dat zoekt naar bugs in elk van de miljoenen apps die op Play zijn gepubliceerd, waardoor problemen als slechte TLS-configuraties worden geëlimineerd die netwerkverkeer of kwetsbaarheden in directory-traversal blootleggen waardoor kwaadwillenden kunnen lezen van of schrijven naar app-specifieke bestanden.

We doen er alles aan om onze geabonneerde gebruikers veilig te houden. In ernstige gevallen, als een kwetsbaarheid niet is opgelost, kan Google de app van Google Play verwijderen om gebruikers te beschermen.

Kennisdatabase over beveiliging van Android-applicaties

We weten dat het niet altijd voldoende is om u te vertellen dat er een kwetsbaarheid in uw applicatie zit; In plaats daarvan moet u weten hoe u het probleem kunt oplossen en hoe u kunt voorkomen dat soortgelijke problemen zich in de toekomst voordoen. Daarom bieden we onze beveiligingsrichtlijnen en -aanbevelingen aan in een nieuw programma: de Android Application Security Knowledge Base (AAKB).

De AAKB heeft tot doel richtlijnen vast te stellen voor het schrijven van veilige Android-software. Het is een verzameling algemene programmeerproblemen, met voorbeelden van oplossingen en uitleg voor het implementeren van specifieke programmeerpatronen. Nieuwe kwesties worden automatisch geïdentificeerd ter beoordeling door experts uit de hele sector, waardoor een brede maar goed beproefde aanpak en begeleiding wordt gegarandeerd.

Gegevens die zijn verzameld tijdens uw interactie met AAKB worden gebruikt om de richtlijnen te verbeteren en te bepalen hoe Android standaard veiliger kan worden gemaakt.

Hoe werkt het?

AAKB stelt duidelijke, collegiaal getoetste richtlijnen op met codevoorbeelden. Instructies zijn compatibel met OWASP-MASF standaarden, en de inhoud wordt gecontroleerd in samenwerking met technische collega's, b.v MicrosoftDit helpt ervoor te zorgen dat de inhoud niet gericht is op één partij en moderne normen vertegenwoordigt. Het biedt u ook een leerlocatie om proactief beveiligingsrisico's in uw toepassingen aan te pakken met behulp van branchebrede standaarden, met directe toegang tot kennis van deskundigen op dit gebied.

Begeleiding wordt geboden via twee mechanismen:

Op de AAKB-startpagina wordt elk artikel afzonderlijk vermeld, volgens de relevante OWASP MASVS-categorie (bijv. MASVS-opslag). Iedereen kan deze inhoud bekijken of er direct feedback op geven. Beveiliging is een steeds veranderend vakgebied, en de mogelijkheid om richtlijnen direct bij te werken betekent dat de levenscycli van softwareontwikkeling dynamisch en met zo min mogelijk wrijving kunnen worden bijgewerkt.

Android Studio voert reparatie-instructies uit via lintcontroles door rechtstreeks naar AAKB-artikelen te verwijzen. U kunt problemen oplossen terwijl de app wordt gebouwd en voordat deze gebruikers bereikt.

Er zijn twee manieren om reparatie-instructies te bekijken met Android Studio:

Beschrijvingen van beveiligingsscans in Android Studio Giraffe+ zijn bijgewerkt met een link naar het relevante AAKB-artikel, zodat u meer context krijgt over waarom een ​​bepaald codefragment mogelijk 'kwetsbaar' is.

Voorbeeld van een resultaat met een link naar een gerelateerd AAKB-artikel in de Android Studio IDE

Figuur 1. Voorbeeld van een resultaat met een link naar een gerelateerd AAKB-artikel in de Android Studio IDE

Ondertussen geven onze open source Android-beveiligingscontroles u toegang tot onze nieuwste richtlijnen en ervaringen om uw mobiele apps verder te beschermen en toekomstige beveiligingsproblemen te voorkomen.

Voeg open source-validaties toe aan uw project door het volgende te volgen Lees mijAl deze lintscans hebben een click-to-fix-functie waarmee u gemakkelijker met minimale inspanning veiliger code kunt schrijven, evenals links naar gerelateerde AAKB-artikelen zoals ingebouwde IDE-scans.

Voorbeeld van een open source beveiligingsonderzoekstool, waarin een fragment kwetsbare code en een click-to-fix-oplossing worden uitgelicht

Figuur 2. Voorbeeld van een open source beveiligingsonderzoekstool, met de nadruk op een fragment kwetsbare code en een click-to-fix-oplossing

Alle ingebouwde lintcontroles in de IDE zijn te vinden op Deze lijstmet veel artikelen onder de categorie Beveiliging met koppelingen naar gerelateerde AAKB-artikelen. Wij horen graag uw mening Opmerkingen en suggesties Om nieuwe lintcontroles en andere verbeteringen aan de open source lintbibliotheek uit te voeren.