Sichere Android Apps bauen: App Security Checklist
Das Projekt Android App Security Checklist bietet eine Checkliste, die Programmierer bei der Konzeption und Veröffentlichung sicherer Android Apps unterstützen soll:
A checklist with security considerations for designing, testing, and releasing secure Android apps. It is based on the OWASP Mobile Application Security Verification Standard and Mobile Security Testing Guide. Follow the links on each checklist item for detailed instructions and recommendations.
Es wäre schön, wenn (mehr) Entwickler solche Checklisten oder Guides berücksichtigen würden. Schon beim ersten Punkt »Data Storage« weiß ich, da besteht noch viel Nachholbedarf:
- The Keystore is used to store sensitive data, such as user credentials or cryptographic keys. – Ein Klassiker. Häufig weden Anmeldedaten (Benutzername/Passwort) einfach in einer XML-Datei oder ähnlichem abgelegt.
- No sensitive data is written to application logs. – Auch ein Klassiker. Die Log-Files werden dann bspw. bei einem Absturz gerne mal mit sensiblen Informationen an den Entwickler übersendet.
- […]