Sichere APIs?

Only in German available.

Was ist eine API

API steht für Application Programming Interface. Eine API ermöglicht es Softwaresystemen miteinander zu kommunizieren. Praktisch jede mobile Applikation auf Ihrem Smartphone verbindet über eine (oder mehreren) API mit einem Server und tauscht so Daten aus. APIs sind nicht neu. Seit Computer miteinander vernetzt sind, gibt es solche Schnittstellen. APIs sind aus der modernen vernetzten Welt nicht mehr wegzudenken. Unser tägliches Leben würde ohne APIs nicht mehr funktionieren. APIs sind der Leim, welcher die digitale Welt zusammenhält.

Weshalb gilt es diese zu schützen

Es gibt APIs, über welche öffentliche Daten ausgetauscht werden. Aber es gibt auch APIs über welche Daten ausgetauscht werden, welche nur für eine bestimmte Person bestimmt sind. So zum Beispiel die mobile E-Banking-App, welche mit den Systemen der Bank kommuniziert. Hier haben wir ein grosses Interesse, dass die dort ausgetauschten Daten privat sind und dies auch bleiben. Oder haben Sie Lust, dass jede Person Zahlungen von Ihrem Konto auslösen kann?

Somit gilt es diese APIs zu schützen. Die Angriffsszenarien sind vielfältig. Sei dies unerlaubter Zugriff auf Daten, fehlerhafte Businesslogik, falsches prüfen ob der Benutzer überhaupt die nötigen Rechte besitzt oder ein Datenleck über welches alle Daten aller Benutzer abgefragt werden können.

Da APIs so wichtig und weit verbreitet sind, gilt es als Betreiber und Verantwortlicher einer solchen API ein spezielles Augenmerk bezüglich der Sicherheit auf die Schnittstelle zu werfen.

Mögliche Lücken und Schwachstellen in einer API

Folgend eine Liste mit Lücken, welche in einer API zu finden sind. Auf alle diese Punkte gilt es beim Entwickeln und Betreiben einer API zu achten.

• Information disclosure
• Broken Object Level Authorization
• Broken User Authentication
• Excessive Data Exposure
• Lack of Resources and Rate Limiting
• Broken Function Level Authorization
• Mass Assignment
• Security Misconfigurations
• Injections
• Improper Assets Management
• Business Logic Vulnerabilities

Aus der freien Wildbahn

Gerne möchten wir hier eine Geschichte aus unserer täglichen Arbeit erzählen. Bei der Analyse einer API, über welche eine mobile Applikation mit dem Server kommuniziert, haben wir festgestellt, dass viel zu viele Daten ausgetauscht werden. Die Funktion in der mobilen App wäre eigentlich ganz harmlos. Die App zeigte dem Benutzer verschiedene Ranglisten an, so konnte der Benutzer sehen, wie er sich im Vergleich zu allen anderen Benutzern schlägt. Die mobile App hat die Ranglistendaten via API vom Server angefragt. In den Daten, welche der Server zurücksendete, waren jedoch viel mehr Daten vorhanden, als für die Rangliste notwendig wären (Excessive Data Exposure). So wurde zum Beispiel für jeden Benutzer sein letzter Standort übermittelt. Dadurch konnte für alle aktiven Benutzer über eine eigentlich harmlose Funktion ein Bewegungsprofil erstellt werden. Der Betreiber dieser Applikation kommt aus der Tourismus-Branche und gibt sich als Vorreiter in Sachen Digitalisierung. Deshalb gibt es auch diese mobile Applikation über welche die Gäste der Region Informationen beziehen oder Dienstleistungen kaufen können. Jedoch auch als Vorreiter in einem Gebiet, sollte man sich auch um die Sicherheit seiner Dienste kümmern und dies aktiv in neue Entwicklungen einplanen, damit solche Vorfälle nicht vorkommen.