Zum Hauptinhalt springen
Capgo Logo
Entwicklung Mobile Updates

API Schlüssel-Sicherheit für die Einhaltung der App-Store-Richtlinien

Lernen Sie wichtige Strategien, um API-Schlüssel zu sichern, um Benutzerdaten zu schützen und die Richtlinien der App-Stores einzuhalten, einschließlich Speicherung, Transport und Verwaltung.

Martin Donadieu

Martin Donadieu

Inhaltsmarketer
API Sicherheit für die App-Store-Kompatibilität

Das Sichern Ihres API Schlüssels ist entscheidend, um Benutzerdaten zu schützen und die App-Store-Regeln einzuhalten. Die Offenlegung von Schlüsseln kann zu Datenverletzungen, Missbrauch von Diensten und Konto-Kompromittierung führen.

Hauptergebnisse:

  • Vermeiden Sie das Speichern von Schlüsseln in code: Verwenden Sie Umgebungsvariablen oder sichere Dateien.
  • Verwenden Sie Plattform-Tools: iOS-Schlüsselkasten und Android Verschlüsselte SharedPreferences.
  • Verschlüsseln Sie API Schlüssel: Fügen Sie mit AES-256-Verschlüsselung eine zusätzliche Sicherheitsebene hinzu.
  • Sichere Transportmethode: Verwenden Sie immer HTTPS und berücksichtigen Sie die SSL-Zertifikatspinning.
  • Überwachen und rotieren Sie Schlüssel: Rotieren Sie regelmäßig Schlüssel und verfolgen Sie die Nutzung für Anomalien.

Durch die Implementierung dieser Praktiken können Sie Ihr App sichern, den Richtlinien von Apple und Google entsprechen und Ihre Benutzer schützen.

Sichere API Schlüssel Speichermethoden

Entfernen Sie API Schlüssel aus der Quellcode Code

Die direkte Einbeziehung von API Schlüsseln in den Quellcode code kann zu einer Exposition durch Entkompilierung oder Repository-Lecks führen. Um dies zu vermeiden, sollten Sie diese Ansätze in Betracht ziehen:

  • Verwenden Sie Umgebungsumgebungsvariablen für lokale Entwicklung.
  • Sicherheitschlüssel in sichere Konfigurationsdateien speichern die aus der Versionskontrolle ausgeschlossen sind.
  • Rely auf remote Konfigurationsdienste um Schlüssel zu verwalten.

Für iOS, überlegen Sie sich XCConfig-Dateien um Konfigurationen von Ihrem Codebase zu trennen. Auf Android können Sie Schlüssel mit gradle.properties:

# Store in ~/.gradle/gradle.properties
API_KEY=your_key_here

# Reference in build.gradle
buildConfigField "String", "API_KEY", "\"${project.API_KEY}\""

Plattform-Sicherheits-Tools

nutzen. Nutzen Sie Plattform-spezifische Werkzeuge, um die Sicherheit bei der Speicherung von API-Schlüsseln zu verbessern.

On iOS verwenden Sie Keychain Services zur sicheren Speicherung:

let query: [String: Any] = [
    kSecClass as String: kSecClassGenericPassword,
    kSecAttrAccount as String: "APIKey",
    kSecValueData as String: apiKey.data(using: .utf8)!
]
let status = SecItemAdd(query as CFDictionary, nil)

Für Android nutzen Sie EncryptedSharedPreferences zur sicheren Schlüsselspeicherung:

val masterKey = MasterKey.Builder(context)
    .setKeyScheme(MasterKey.KeyScheme.AES256_GCM)
    .build()

val sharedPreferences = EncryptedSharedPreferences.create(
    context,
    "secret_shared_prefs",
    masterKey,
    EncryptedSharedPreferences.PrefKeyEncryptionScheme.AES256_SIV,
    EncryptedSharedPreferences.PrefValueEncryptionScheme.AES256_GCM
)

Trennen Sie Schlüssel nach Umgebung

Verwenden Sie unterschiedliche API-Schlüssel für die Entwicklungsumgebung, die Staging-Umgebung und die Produktionsumgebung. Jede Umgebung sollte:

  • Eine eindeutige Schlüsselrotationseinstellung haben.
  • Verwendungsmeldungen.
  • Zugriffssteuerungen mit strengen Zugriffsbeschränkungen.

Speichern Sie Umgebungs-Schlüssel in sichere CI/CD-Umgebungsvariablen anstatt Konfigurationsdateien. Dies sichert die Schlüssel vor unbefugtem Zugriff, während automatisierte Build-Prozesse unterstützt werden. Zudem sollten sichere Transportmechanismen eingerichtet werden, um Schlüssel während der Übertragung zu schützen.

Fortgeschrittene Mobile iOS-Sicherheit – Laufzeitangriffe & API Schlüssel …

API Schlüsseltransport-Sicherheit

Die Sicherung von API Schlüsseln während der Übertragung ist entscheidend, um Benutzerdaten zu schützen und Anforderungen der App-Stores zu erfüllen. Starke Transport-Sicherheitsmaßnahmen verhindern Angriffe wie Man-in-the-Middle und unbefugter Zugriff.

HTTPS-Implementierung

Um API Kommunikation zu sichern, leiten Sie HTTP-Verkehr immer auf HTTPS um. Verwenden Sie TLS 1.3 oder eine späteren Version und erhalten Sie SSL-Zertifikate von einer vertrauenswürdigen Zertifizierungsstelle.

Ein grundlegender Beispiel dafür, wie HTTPS in einem Node.js- Express-Anwendung umgesetzt werden kann:

const express = require('express');
const app = express();

// Redirect HTTP to HTTPS
app.use((req, res, next) => {
    if (!req.secure) {
        return res.redirect('https://' + req.headers.host + req.url);
    }
    next();
});

Für einen zusätzlichen Schutz sollten Sie Zertifikatspinning implementieren.

SSL-Zertifikats-Pinning

Zertifikats-Pinning stellt sicher, dass das SSL-Zertifikat des Servers mit einem vertrauenswürdigen Vorgabekopie übereinstimmt, um die Verwendung von Falscheinheiten zu verhindern.

Auf iOS können Sie Zertifikats-Pinning mit der Verwendung von URLSessionHier ist ein Beispiel:

class APIManager: NSObject, URLSessionDelegate {
    func urlSession(_ session: URLSession, didReceive challenge: URLAuthenticationChallenge, completionHandler: @escaping (URLSession.AuthChallengeDisposition, URLCredential?) -> Void) {
        guard let serverTrust = challenge.protectionSpace.serverTrust,
              let certificate = SecTrustGetCertificateAtIndex(serverTrust, 0) else {
            completionHandler(.cancelAuthenticationChallenge, nil)
            return
        }

        // Compare certificate with pinned certificate
        if validateCertificate(certificate) {
            completionHandler(.useCredential, URLCredential(trust: serverTrust))
        } else {
            completionHandler(.cancelAuthenticationChallenge, nil)
        }
    }
}

Neben der Sicherung des Transports verschlüsseln Sie API-Schlüssel auf der Anwendungsebene.

API-Schlüsselverschlüsselung

Die Verschlüsselung von API-Schlüsseln fügt einen weiteren Sicherheitslevel hinzu. Capgo zum Beispiel verwendet Ende-zu-Ende-Verschlüsselung für App-Updates.

“The only solution with true end-to-end encryption, others just sign updates” - Capgo [1]

To encrypt API keys, use reliable encryption algorithms. Below is an example of encrypting an API key with AES-256-GCM in Node.js:

const crypto = require('crypto');

function encryptAPIKey(apiKey, encryptionKey) {
    const iv = crypto.randomBytes(16);
    const cipher = crypto.createCipheriv('aes-256-gcm', encryptionKey, iv);

    let encrypted = cipher.update(apiKey, 'utf8', 'hex');
    encrypted += cipher.final('hex');

    return {
        encrypted: encrypted,
        iv: iv.toString('hex'),
        tag: cipher.getAuthTag().toString('hex')
    };
}

Um API-Schlüssel zu verschlüsseln, verwenden Sie zuverlässige Verschlüsselungsalgorithmen. Hier ist ein Beispiel für die Verschlüsselung eines __CAPGO_KEEP_1__-Schlüssels mit AES-256-GCM in Node.js:

Die Combination von HTTPS, Zertifikats-Pinning und Verschlüsselung stellt eine starke Verteidigung für Ihre API-Schlüssel sicher.

Effektives Management von API Schlüsseln bedeutet, ihre Nutzung im Auge zu behalten, sie regelmäßig zu rotieren und strikte Zugriffssteuerungen durchzusetzen. Diese Schritte helfen dabei, sensible Daten zu schützen und die Einhaltung von Anforderungen der App-Stores sicherzustellen.

Benutzungsüberwachung

Die Überwachung der API-Schlüssel-Nutzung ist entscheidend, um ungewöhnliche Aktivitäten zu erkennen. Verwenden Sie Echtzeit-Analysen, um zu überwachen:

  • Anforderungsmuster und -volumina
  • Geografische Standorte des Zugriffs
  • Fehlerraten und -typen
  • Authentifizierungsfehler

Hier ist ein Beispiel in Node.js:

const apiMetrics = {
    trackRequest: (apiKey, endpoint) => {
        // Log request details
        const requestData = {
            timestamp: new Date().toISOString(),
            endpoint,
            apiKey: hashKey(apiKey),
            geoLocation: getRequestLocation(),
            responseTime: calculateResponseTime()
        };

        // Alert on suspicious patterns
        if (isAnomalous(requestData)) {
            notifySecurityTeam(requestData);
        }
    }
};

Schlüsselrotationsschema

Einmal Sie die Nutzung im Griff haben, stellen Sie sicher, dass Sie Ihre Schlüssel regelmäßig rotieren. Automatisierte Rotationen können Ihnen helfen, die Einhaltung von Anforderungen der App-Stores sicherzustellen. Hier sind einige Rotationstrategien:

  • Notfallrotation: Schlüssel sofort sperren, wenn Sie einen Vorfall vermuten.
  • Geplante Rotation: Produktionschlüssel alle 3 Monate aktualisieren.
  • Entwicklungsrotation: Testumgebungen: Schlüssel alle Monate aktualisieren.

Um Störungen zu minimieren, verwenden Sie einen Übergangszeitraum während der Schlüsseländerung: 

const keyRotation = {
    oldKey: process.env.OLD_API_KEY,
    newKey: process.env.NEW_API_KEY,
    transitionPeriod: 7 * 24 * 60 * 60 * 1000, // 7 days
    startDate: new Date()
};

Zugriffssteuerung einrichten

Überwachung und Rotation sind nur ein Teil der Gleichung. Sie müssen auch strenge Zugriffssteuerungen durchsetzen. Zuteilen Sie Berechtigungen aufgrund der Notwendigkeit und halten Sie sich an das Grundsatz der geringsten Berechtigung: 

const accessControl = {
    validateAccess: (apiKey, requestedOperation) => {
        const keyPermissions = getKeyPermissions(apiKey);
        const environmentType = getCurrentEnvironment();

        return isOperationAllowed(keyPermissions, requestedOperation, environmentType);
    }
};

Regelmäßig überprüfen Sie, wer Zugriff hat, passen Sie die Berechtigungen an, wenn nötig, und setzen Sie automatisierte Warnungen für ungewöhnliche Aktivitäten ein. Diese Maßnahmen helfen Ihnen, eine starke Sicherheit aufrechtzuerhalten, während Sie sich an die Anforderungen der App-Store-Richtlinien halten.

Capgo Sicherheitsmerkmale

Capgo Live-Update-Dashboard-Interface

Capgo stärkt die Anwendungsicherheit, indem es sichere Speicherung und -transportmethoden kombiniert mit fortschrittlichen Funktionen, die in seine Plattform integriert sind.

Capgo Sicherheitsarchitektur

Capgo’s System hat erfolgreich über 23,5 Millionen sichere Updates an 750 Produktionsanwendungen geliefert. Es verwendet Ende-zu-Ende-Verschlüsselung, um sicherzustellen, dass nur autorisierte Benutzer Updates entschlüsseln können. sichere Updates zu 750 Produktionsanwendungen [1]. Es verwendet Ende-zu-Ende-Verschlüsselung, um sicherzustellen, dass nur autorisierte Benutzer Updates entschlüsseln können. Hier ist ein Blick auf seine Sicherheitseinstellungen:

const capgoSecurity = {
    encryptionType: 'end-to-end',
    keyStorage: {
        separate: true,
        encrypted: true,
        environment: process.env.NODE_ENV
    },
    updateVerification: async (update) => {
        const isValid = await verifySignature(update);
        const isAuthorized = await checkUserPermissions(update.userId);
        return isValid && isAuthorized;
    }
};

Diese Architektur schützt nicht nur API-Schlüssel, sondern vereinfacht auch die Einhaltung von Anforderungen der App-Stores.

Einhaltung von App-Store-Richtlinien

Capgo stellt sicher, dass Updates schnell und sicher geliefert werden, wobei ein globales Erfolgsrate von 82% erreicht wird, wobei 95% der aktiven Benutzer Updates innerhalb von 24 Stunden erhalten. [1]Seine Funktionen helfen dabei, potenzielle Schwachstellen zu bekämpfen:

  • Automatisierte Schlüsselrotation im Einklang mit den Richtlinien der App-Stores
  • Umgebungsabhängige Bereitstellungssteuerungen
  • Feinabgestimmte Berechtigungen für die Verwaltung von Updates

CI/CD-Sicherheitsintegration

Capgo funktioniert reibungslos mit CI/CD-Plattformen, um die API-Sicherheit zu verbessern. Hier ist ein Beispiel für seine Integration:

capgo_deployment:
    environment:
        - CAPGO_API_KEY: ${SECURED_API_KEY}
        - APP_ENV: production
    security:
        - signature_verification: true
        - key_rotation: enabled
        - access_control: role_based
SicherheitsfunktionImplementierung
SchlüsselverschlüsselungEnd-to-end-Verschlüsselung während der Erstellung und Bereitstellung
ZugriffssteuerungRollenbasierte Berechtigungen für die Auslösung von Bereitstellungen
RechnungslegungUmfassende Protokolle aller Bereitstellungsaktivitäten
VersionskontrolleSichere Verfolgung von bereitgestellten Updates

“End-to-end-Verschlüsselung. Nur Ihre Benutzer können Ihre Updates entschlüsseln, niemand sonst.” [1] - Capgo

Zusammenfassung

Die Sicherung von API-Schlüsseln ist entscheidend, um Anforderungen von App-Stores zu erfüllen und Benutzerdaten zu schützen. Hier ist eine kurze Übersicht über wichtige Praktiken und was als Nächstes zu tun ist.

Sicherheitscheckliste

Die folgende Tabelle hebt wichtige Schritte zur Sicherung von API-Schlüsseln hervor, während man sich an Apple- und Google-Standards hält:

SicherheitsmaßnahmeImplementierungsanforderungenEinfluss auf die Einhaltung
Sicherheit bei der SpeicherungVerwenden Sie Ende-zu-Ende-Verschlüsselung und separate UmgebungenStimmt mit den Datenschutzregeln von Apple/Google überein
Transport LayerErzwingen Sie HTTPS und verwenden Sie SSL-ZertifikatspinningSichert Daten während der Übertragung
ZugriffssteuerungWenden Sie rollenbasierte Berechtigungen und Protokollieren Sie Zugriffsprotokolle an Blockiert unbefugten ZugriffSchlüsselmanagement
Rotieren Sie Schlüssel automatisch und verwenden Sie umgebungsabhängige SchlüsselBewahrt starke, laufende Sicherheit auf__CAPGO_KEEP_0__

Beziehen Sie sich auf diese Liste als Leitfaden für die Sicherung Ihrer API-Schlüssel.

Nächste Schritte

  1. Auditieren Sie die aktuelle Implementierung

    Überprüfen Sie Ihre bestehenden Schlüssel-Speicher- und -Transportmethoden auf Schwachstellen, insbesondere bei der Verschlüsselung und der Quelldarstellung von code.

  2. Implementieren Sie Sicherheitsmaßnahmen

    Wenden Sie Ende-zu-Ende-Verschlüsselung an, um Risiken zu reduzieren und die Anforderungen der App-Stores zu erfüllen.

  3. Etablieren Sie Überwachungssysteme

    Sorgen Sie für automatisierte Warnungen und führen Sie regelmäßige Audits durch, um die Sicherheit fortlaufend sicherzustellen.

“App Store compliant” - Capgo [1]

Keep going from API Key Security for App Store Compliance

__CAPGO_KEEP_0__ Bleiben Sie bei der API-Schlüssel-Sicherheit für die App-Store-Konformität weiterhin auf dem Laufenden. um Sicherheit und Compliance zu planen, verbinden Sie es mit Verschlüsselung für die Implementierungsdetails in Verschlüsselung Kongruenz für die Implementierungsdetails in Kongruenz Capgo Sicherheits-Scanner für den Produktworkflow in Capgo Sicherheits-Scanner Capgo Sicherheit für den Produktworkflow in Capgo Sicherheit, und Capgo Trust Center für den Produktworkflow in Capgo Trust Center

Live-Updates für Capacitor-Anwendungen

Wenn ein Bug im Web-Schicht lebt, liefern Sie die Reparatur über Capgo anstatt Tage zu warten, bis die App-Store-Zulassung genehmigt ist. Die Benutzer erhalten die Aktualisierung im Hintergrund, während native Änderungen im normalen Review-Verfahren bleiben.

Los geht's jetzt

Aktuelle Beiträge aus unserem Blog

Capgo gibt Ihnen die besten Einblicke, die Sie benötigen, um eine wirklich professionelle mobile App zu erstellen.

Zweiwegkommunikation in Capacitor-Anwendungen
Entwicklung Mobile +1
26. April 2025

2-Weg-Kommunikation in Capacitor Apps

5 häufige Fehler bei OTA-Updates vermeiden
Entwicklung Sicherheit +1
13. April 2025

5 häufige Fehler bei OTA-Updates vermeiden

5 Sicherheitstipps für mobile Live-Updates von Apps
Entwicklung Mobile +1
14. Januar 2025

5 Sicherheitsbest Practices für Live-Updates in mobilen Apps

Alle Beiträge aus unserem Blog