Come archiviare in modo sicuro token di accesso e segreti in Android?

Question

Ho intenzione di usare oAuth per recuperare mail e contatti da google. Non desidero chiedere all'utente l'accesso ogni volta per ottenere un token di accesso e segreti. Da quello che ho capito, ho bisogno di memorizzarli con la mia applicazione in un database o SharedPreferences. Ma sono un po 'preoccupato per gli aspetti di sicurezza con questo. Ho letto che puoi crittografare e decrittografare i token, ma è facile per un utente malintenzionato decompilare l'apk e le classi e ottenere la chiave di crittografia.
Qual è il metodo migliore per archiviare in modo sicuro questi token in Android?

Answer 1

Memorizzarli come preferenze condivise. Questi sono di default privati ​​e altre app non possono accedervi. Sui dispositivi rooted, se l'utente consente esplicitamente l'accesso ad alcune app che stanno cercando di leggerle, l'app potrebbe essere in grado di usarle, ma non è possibile proteggerle. Per quanto riguarda la crittografia, è necessario richiedere all'utente di immettere la passphrase di decrittografia ogni volta (annullando quindi lo scopo delle credenziali di memorizzazione nella cache) o di salvare la chiave in un file e si ottiene lo stesso problema.

Ci sono alcuni vantaggi di memorizzare i token al posto della password nome utente reale:

applicazioni
• di terze parti non hanno bisogno di conoscere la password e l'utente può essere sicuri che mandano solo con l'originale sito (Facebook, Twitter, Gmail, ecc.)
• Anche se qualcuno ruba un token, non viene visualizzata la password (che l'utente potrebbe utilizzare anche su altri siti)
• I token generalmente hanno una durata e scadono dopo un certo tempo
• I token possono essere revocati se si sospetta che siano stati compromessi

Answer 2

È possibile memorizzarli in AccountManager. È considerata la miglior pratica secondo questi ragazzi.

Ecco la definizione ufficiale:

Questa classe fornisce l'accesso a un registro centralizzato di conti online degli utenti. L'utente inserisce le credenziali (nome utente e password) una volta per account, garantendo alle applicazioni l'accesso alle risorse online con l'approvazione "one-click".

Per la guida dettagliata su come utilizzare AccountManager:

• Udi Cohen tutorial
• Pilanites blog
• Google IO presentation

Tuttavia, alla fine AccountManager memorizza solo il token come testo normale . Quindi, ti suggerisco di crittografare il tuo segreto prima di memorizzarlo in AccountManager. È possibile utilizzare varie libreria di crittografia come AESCrypt o AESCrypto

Un'altra opzione è quella di utilizzare Conceal library. È abbastanza sicuro per Facebook e molto più facile da usare rispetto a AccountManager. Ecco uno snippet di codice per salvare un file segreto usando Conceal.

byte[] cipherText = crypto.encrypt(plainText); 
byte[] plainText = crypto.decrypt(cipherText); 

Spero che sia d'aiuto.

Answer 3

Bene, è possibile proteggere il token di accesso impostando due opzioni.

1. Utilizzare Salva il token di accesso nel keystore Android che non sarebbe invertire.
funzione
2. Usa NDK con qualche calcolo che salvare il token e NDK con codice C++ che è molto difficile da invertire

Answer 4

1. Dal riquadro Progetto di Android Studio, selezionare "file di progetto" e creare un nuovo file chiamato "keystore.properties" nella directory principale del progetto.

file
2. Aprire "keystore.properties" e salvare il token di accesso e segreto nel file.

3. Ora caricare il letto il token di accesso e segreto nella vostra app build.gradle di file del modulo. Quindi devi definire la variabile BuildConfig per il tuo token di accesso e Secret in modo da poterti accedere direttamente dal tuo codice. Il tuo build.gradle può apparire come segue:

   ... ... ... 
   
   android { 
       compileSdkVersion 26 
   
       // Load values from keystore.properties file 
       def keystorePropertiesFile = rootProject.file("keystore.properties") 
       def keystoreProperties = new Properties() 
       keystoreProperties.load(new FileInputStream(keystorePropertiesFile)) 
   
       defaultConfig { 
        applicationId "com.yourdomain.appname" 
        minSdkVersion 16 
        targetSdkVersion 26 
        versionCode 1 
        versionName "1.0" 
        testInstrumentationRunner "android.support.test.runner.AndroidJUnitRunner" 
   
        // Create BuildConfig variables 
        buildConfigField "String", "ACCESS_TOKEN", keystoreProperties["ACCESS_TOKEN"] 
        buildConfigField "String", "SECRET", keystoreProperties["SECRET"] 
       } 
   } 
   

4. È possibile utilizzare il token di accesso e segreto nel codice come questo:

   String accessToken = BuildConfig.ACCESS_TOKEN; 
   String secret = BuildConfig.SECRET; 
   

In questo modo non è necessario archivia il token di accesso e il segreto in testo normale all'interno del tuo progetto. Quindi, anche se qualcuno decompila il tuo APK, non otterrà mai il tuo token di accesso e il segreto mentre li stai caricando da un file esterno.

Answer 5

SharedPreferences is not un luogo sicuro. Su un dispositivo rooted abbiamo easily in grado di leggere e modificare tutti gli xml di SharedPrefereces di tutte le applicazioni. Anche se un token scade ogni ora, i token più recenti possono ancora essere rubati da SharedPreferences. Android KeyStore deve essere utilizzato per la memorizzazione a lungo termine e il recupero delle chiavi crittografiche che verranno utilizzate per crittografare i nostri token per archiviarli, ad es. SharedPreferences. Le chiavi non vengono memorizzate all'interno del processo di un'applicazione, pertanto vengono compromesse are harder.