为什么要保护API?
Stewart的职业生涯始于美国国家半导体公司(National Semiconductor)的芯片设计师,他并不是说硬件安全没有必要。反而他充分认识到硬件安全的重要性和能力。但是CriticalBlue过去的项目,包括开发软件优化工具来提高移动硬件性能,已经让Stewart和他的团队深入了解了软件在移动平台上扮演的角色。
当API出现问题
一个API现在可用,并不意味着将来也可用。以Twitter为例,一年以前就以限制第三方应用使用其API而臭名昭著,这种做法杀死了所有的第三方Twitter客户端,让用户只能使用Twitter自家的网站和应用,Twitter从中展示广告赚钱。Twitter称自己坚持这么做是为了保持统一的Twitter用户体验。
有些公司可能会关闭服务和API,例如Google就总是把一些见不到利润的服务关闭,最近的例子是Google Reader,如果你的应用依赖这些API来运行的话,就会随之一同出现问题。
虽然API的世界并不完美,但依然阻止不了开发者对其的热情,也阻止不了由其促成的各种多样化应用和服务。
今天,CriticalBlue专注于保护api得工作,这是为了以后保护基于移动应用程序的产品和服务。
在最近的一份白皮书中,CriticalBlue写道:
当涉及到服务于移动应用程序的api时,问题是任何人(包括攻击者)都可以在他/她控制的设备上自由地安装应用程序,从而对其进行逆向工程并研究其弱点。
CriticalBlue列出了api面临的五大威胁,从中间人攻击和数据抓取到凭证填充、应用程序模拟和拒绝服务攻击。
值得注意的是,服务提供商使用的应用程序依赖于来自不同供应商的多个api提供的数据和服务。一个典型的应用程序同时使用内部和第三方api——每个api都有自己的访问管理和相关收费方法。在允许访问之前,大多数API要求应用程序为每个请求提供一个有效的API密钥。
Approov为您的应用程序提供安全通道
例如,当服务提供商需要“验证与您的API通信代理是您是否在安全环境中运行的真实应用程序时,CriticalBlue的Approov将会出现,”Stewart指出,Approov可以通过远程识别“应用程序独特的DNA和安全的运行时环境”来做到这一点。Approov在应用程序中不使用API密钥。相反,Approov为API调用提供了短期的令牌。
正如Stewart所解释,Approov的目标是“确保密钥不会被传递到修改过的应用程序或在不可信的移动环境中运行的应用程序。”
CriticalBlue的Approov是一个实时产品,现在由德国汽车租赁公司Sixt部署,以解决API滥用问题。这家租赁公司选择了Approov,并获得了Sixt Share的股份。Sixt Share是该公司最初与宝马(BMW)合作创办的一家汽车共享公司。
Approov是如何工作的,如何部署它?
