Veröffentlicht am: 7. September 2022
Autor: Thomas Federer
API steht für Application Programming Interface. Eine API ermöglicht es Softwaresystemen miteinander zu kommunizieren. Praktisch jede mobile Applikation auf Ihrem Smartphone verbindet über eine (oder mehreren) API mit einem Server und tauscht so Daten aus. APIs sind nicht neu. Seit Computer miteinander vernetzt sind, gibt es solche Schnittstellen. APIs sind aus der modernen vernetzten Welt nicht mehr wegzudenken. Unser tägliches Leben würde ohne APIs nicht mehr funktionieren. APIs sind der Leim, welcher die digitale Welt zusammenhält.
Laut Cloudflare betreffen mehr als 50% aller Anfragen im Internet APIs.
Quelle: https://blog.cloudflare.com/landscape-of-api-traffic/
Es gibt APIs, über welche öffentliche Daten ausgetauscht werden. Aber es gibt auch APIs über welche Daten ausgetauscht werden, welche nur für eine bestimmte Person bestimmt sind. So zum Beispiel die mobile E-Banking-App, welche mit den Systemen der Bank kommuniziert. Hier haben wir ein grosses Interesse, dass die dort ausgetauschten Daten privat sind und dies auch bleiben. Oder haben Sie Lust, dass jede Person Zahlungen von Ihrem Konto auslösen kann?
Somit gilt es diese APIs zu schützen. Die Angriffsszenarien sind vielfältig. Sei dies unerlaubter Zugriff auf Daten, fehlerhafte Businesslogik, falsches prüfen ob der Benutzer überhaupt die nötigen Rechte besitzt oder ein Datenleck über welches alle Daten aller Benutzer abgefragt werden können.
Da APIs so wichtig und weit verbreitet sind, gilt es als Betreiber und Verantwortlicher einer solchen API ein spezielles Augenmerk bezüglich der Sicherheit auf die Schnittstelle zu werfen.
Folgend eine Liste mit Lücken, welche in einer API zu finden sind. Auf alle diese Punkte gilt es beim Entwickeln und Betreiben einer API zu achten.
Gerne möchten wir hier eine Geschichte aus unserer täglichen Arbeit erzählen. Bei der Analyse einer API, über welche eine mobile Applikation mit dem Server kommuniziert, haben wir festgestellt, dass viel zu viele Daten ausgetauscht werden. Die Funktion in der mobilen App wäre eigentlich ganz harmlos. Die App zeigte dem Benutzer verschiedene Ranglisten an, so konnte der Benutzer sehen, wie er sich im Vergleich zu allen anderen Benutzern schlägt. Die mobile App hat die Ranglistendaten via API vom Server angefragt. In den Daten, welche der Server zurücksendete, waren jedoch viel mehr Daten vorhanden, als für die Rangliste notwendig wären (Excessive Data Exposure). So wurde zum Beispiel für jeden Benutzer sein letzter Standort übermittelt. Dadurch konnte für alle aktiven Benutzer über eine eigentlich harmlose Funktion ein Bewegungsprofil erstellt werden. Der Betreiber dieser Applikation kommt aus der Tourismus-Branche und gibt sich als Vorreiter in Sachen Digitalisierung. Deshalb gibt es auch diese mobile Applikation über welche die Gäste der Region Informationen beziehen oder Dienstleistungen kaufen können. Jedoch auch als Vorreiter in einem Gebiet, sollte man sich auch um die Sicherheit seiner Dienste kümmern und dies aktiv in neue Entwicklungen einplanen, damit solche Vorfälle nicht vorkommen.
Wissen Sie wieviel APIs Sie haben? Und ob diese sicher sind?
Folgende Blog-Beiträge könnten Sie interessieren:
Ein 8-stelliges Passwort mit Nummern, Gross- und Kleinbuchstaben und Sonderzeichen kann in unter einer Stunde geknackt werden.
Quelle: Hive Systems
X
Wissen Sie wieviel APIs Sie haben? Und ob diese sicher sind?
Kontaktieren Sie uns unverbindlich:
Kathrin Müller freut sich auf Ihre Kontaktaufnahme und organisiert je nach Bedürfnis gerne ein Meeting.
nanio GmbH (Codepurple)
Moosweg 24
5606 Dintikon
Impressum| Datenschutz| © Codepurple 2024. Alle Rechte vorbehalten