Skip to content

Approov Runtime Secrets Protection Shields Mobile App Secrets, verhindert den Diebstahl von API-Schlüsseln und Zugangsdaten, blockiert DDoS-Angriffe auf Mobile Apps

SAN JOSE, Kalifornien. & Edinburgh, Schottland–(GESCHÄFTSDRAHT).

Die jüngsten Sicherheitsverletzungen haben das Risiko aufgezeigt, dass gestohlene Schlüssel und Geheimnisse von Hackern ausgenutzt werden. Es ist klar, dass solche Geheimnisse im Ruhezustand und während der Übertragung nicht wirksam geschützt werden, was dazu führt, dass schlechte Akteure sie erwerben und sie für den Zugriff auf APIs und Anwendungen ausnutzen.

Die breite Verwendung von APIs von Drittanbietern durch mobile Apps fügt dem Problem eine weitere Dimension hinzu. Entwickler mobiler Apps können sowohl finanzielle Verluste erleiden als auch den Ruf ihrer Marke schädigen, wenn sie als Ursache für App-Verstöße von Drittanbietern oder Dienstunterbrechungen angesehen werden, die durch DDoS-Angriffe (Distributed Denial of Service) unter Verwendung gestohlener Geheimnisse verursacht werden.

Jüngste Forschungsergebnisse von Osterman Research veranschaulichen das Ausmaß des Problems:

„Anstehende Osterman-Ergebnisse zeigen, dass mobile Apps im Durchschnitt von mehr als 30 Drittanbieter-APIs abhängen und dass die Hälfte der von uns befragten mobilen Entwickler immer noch API-Schlüssel im App-Code speichern“, sagte Michael Sampson, Senior Analyst bei Osterman Research . „Diese beiden Dinge zusammen bilden eine riesige Angriffsfläche für schlechte Akteure, die sie ausnutzen können. Und API-Bedrohungen von Drittanbietern gegen mobile Apps werden von Unternehmen nicht so gut verstanden, wie sie es sein sollten. Die neue Funktionalität von Approov ermöglicht die dynamische Verwaltung und Aktualisierung von API-Schlüsseln und stellt sicher, dass sie niemals aus der App extrahiert werden können. Dies ist ein großer Fortschritt beim Schutz von APIs vor Missbrauch.”

Entwickler wurden häufig aufgefordert, keine fest codierten Schlüssel in einer mobilen App oder einem mobilen Gerät zu speichern, aber wie die Forschung zeigt, ist diese „Best Practice“ nicht weit verbreitet, da es bisher keine einfache Möglichkeit gab, solche Geheimnisse bequem und sicher zu speichern außerhalb des App-Codes.

Einführung von Approov Runtime Secrets Protection: Just-in-Time Keys Secrets, die Angriffe auf mobile APIs vereiteln

Aus diesem Grund veröffentlicht Approov neue Funktionen in Approov 3.0, die dieses Problem angehen, indem sie die Verwaltung von API-Schlüsseln und anderen Geheimnissen im Ruhezustand oder während der Übertragung einfach und sicher machen.

Approov Runtime Secrets Protection verwaltet und schützt alle Geheimnisse, die eine mobile App verwendet. Der Approov-Cloud-Service liefert Geheimnisse „just-in-time“ nur in dem Moment an die App, in dem sie einen API-Aufruf tätigen müssen, und nur dann, wenn die App und ihre Laufzeitumgebung die Beglaubigung bestanden haben. Dadurch wird sichergestellt, dass sensible API-Geheimnisse nicht ständig gespeichert oder an unsichere Orte wie gefälschte Apps oder in böswillige Hände geliefert werden.

Alle Geheimnisse werden vom Approov-Cloud-Service gespeichert und sind einfach dynamisch zu verwalten. Wenn Änderungen an diesen erforderlich sind, können sie einfach und sofort in allen bereitgestellten Apps geändert werden, um Missbrauch zu verhindern.

Dieser Ansatz stellt eine wesentliche Verbesserung gegenüber Schlüsseln dar, die in der App selbst fest codiert sind, denn sollten diese Schlüssel „durchgesickert“ sein, muss die App mit einer völlig neuen Version aktualisiert werden – ein Prozess, der komplex und zeitaufwändig ist und das Jonglieren mit neuen einschließt und alte Schlüssel während der Zeit bis zur Überführung der installierten Basis in die neue Version.

Doğan Bolak, CTO des Innovators für soziale Investitionen Invstr, sagte: „Wir lieben die Art und Weise, wie Approov sowohl unsere App als auch die von uns verwendeten APIs schützt. Unsere Kunden müssen sich darauf verlassen können, dass unser Service sicher ist, und Approov liefert dies. Wir sind sehr zufrieden mit der Technologie und der Unterstützung, die wir von ihnen erhalten. Approov Runtime Secrets Protection bietet die wichtige Fähigkeit, statische Schlüssel in dynamische Schlüssel umzuwandeln und sie „auf Knopfdruck“ zu aktualisieren, was bedeutet, dass APIs von Drittanbietern nicht mehr missbraucht werden können, selbst wenn Geheimnisse in die Hände von Bösewichten gelangen. ”

Approov Runtime Secrets Protection eliminiert die Notwendigkeit, Geheimnisse überhaupt in den Code der mobilen App aufzunehmen, wodurch das Risiko der Extraktion durch Codeanalyse sowie das Risiko der Offenlegung durch versehentliche Lecks im Quellcode-Repository vollständig eliminiert werden. Darüber hinaus ist die Verwaltung einfach: Approov ermöglicht die dynamische Aktualisierung von Geheimnissen vor Ort, ohne dass App-Updates ausgegeben werden müssen.

David Stewart, CEO von Approov, sagte: „Mobile Apps und APIs sind – heute mehr denn je – das Lebenselixier großer und kleiner Unternehmen. Geheimnisse in Apps zu hinterlassen oder durch Man-in-the-Middle-Angriffe (MitM) zu extrahieren, ist, als würden Sie Ihre Haustür für Angreifer offen lassen, und Unternehmen müssen sofort handeln, um geheime Abschirmungslösungen bereitzustellen. Sich ausschließlich auf App-Härtungslösungen zu verlassen, die keine Geheimnisse während der Übertragung schützen, ist wie die Haustür abzuschließen, während man die Fenster offen lässt. Approov Runtime Secrets Protection ist die erste Lösung zum umfassenden Schutz von Geheimnissen im Ruhezustand und bei der Übertragung ohne Backend-Änderungen. Es schützt die gesamte Palette von APIs, auf die sich mobile Apps jetzt verlassen, einschließlich zuvor ungeschützter APIs von Drittanbietern.”

Kommendes Webinar

Nehmen Sie am Live-Webinar von Approov am 9. Juni „Best Practices for Secure Access of 3rd Party APIs from Mobile Apps“ teil, in dem die Reputations- und finanziellen Risiken im Zusammenhang mit der API-Nutzung erörtert werden und wie diese Risiken gemindert werden können. Hier anmelden.

Preise und Verfügbarkeit

Die Preisgestaltung der Approov-Lösung ist so konzipiert, dass sie vollständig auf Ihr Unternehmenswachstum abgestimmt ist, basierend auf der Anzahl echter aktiver Apps in einem monatlichen Abrechnungszeitraum. Approv 3.0 ist ab sofort verfügbar.

Über Approov

Approov-Lösungen helfen, den API-Missbrauch am Edge zu stoppen und Sicherheitsverletzungen in mobilen Kanälen zu verhindern. Da immer mehr Unternehmen auf Digitalisierung und zukunftsfähige Dienste umsteigen, die mobile API-Verbindungen nutzen, kann die ordnungsgemäße Sicherung dieser Verbindungen übersehen oder nicht vollständig für alle möglichen Bedrohungen implementiert werden, wodurch Unternehmen und ihre Benutzer Verstößen, Betrug, Denial-of-Service und anderen Formen ausgesetzt werden des API-Missbrauchs.

Approov API Threat Protection bietet eine multifaktorielle End-to-End-Sicherheitslösung für mobile APIs, die Identitätsmanagement, Endpunkt- und Geräteschutz ergänzt, um die ordnungsgemäße API-Nutzung zu sperren. Es stellt sicher, dass nur sichere und zugelassene Apps, die in sicheren Umgebungen ausgeführt werden, erfolgreich und sicher auf die APIs eines Unternehmens zugreifen können, und verhindert unbefugten Zugriff durch Angreifer-Skripting, Bots und gefälschte oder manipulierte Apps. https://www.approov.io/

Kontaktinformation:

Michael Sampson, Senior Analyst, Osterman Research: Wenden Sie sich an Madison Alexander

Dogan Bolak, CTO, Invstr: Wenden Sie sich an Madison Alexander

Zusätzliche Ressourcenlinks:

Erklärer: Die Bedrohungen für mobile Apps und APIs

Erklärung: Die Approov-Produktseite

Leave a Reply

Your email address will not be published.