Your API Keys are NOT SAFE in a native app 🤬

Simon Grimm

13 Jun 202309:25

Summary

TLDRこの動画スクリプトでは、APIキーのセキュリティと、なぜアプリケーションに秘密キーを含めることが危険であるかについて説明されています。Simonは、iOSとAndroidのアプリケーションからAPIキーを簡単に取得する方法を紹介し、プロキシの背後でAPIキーを保持し、アクセスを制限し、環境ファイルで秘密キーを保管し、FirebaseやSupabaseなどのツールを使用することでセキュリティを向上させるという5つのアドバイスを提供しています。

Takeaways

🔑 APIキーはネイティブアプリに含めない方が良い。
💻 アプリストアやデバイス上でアプリは安全ではない。
🛠️ アプリケーションのソースコードにAPIキーが含まれている場合、発見される可能性が高い。
📱 iOSアプリはApple Configuratorツールを使って簡単に取得できる。
🤖 AndroidアプリはADBコマンドを使って簡単に取得できる。
🔎 検索機能を使ってAPIキーを発見できる。
🚀 代理サーバーを使い、APIキーを隠蔽する。
🔒 APIアクセスを特定のドメインまたはバンドルIDに制限する。
📄 .envファイルを使用して秘密キーを管理する。
🔥 FirebaseやSupabaseなどのツールを使うことで、APIキーの管理が容易になる。
🛡️ 一部のサービスではAPIキーが漏洩しても大きな問題にはならない。

Q & A

APIキーをアプリケーションに含めるリスクは何ですか？
-APIキーをアプリケーションに含めることで、黑客によって容易に発見と盗用されるリスクがあります。これにより、サービスへの不正アクセスや不正使用が行われる可能性があります。
iOSアプリケーションのIPAファイルを取得する方法は何ですか？
-iOSアプリケーションのIPAファイルを取得するには、Apple Configuratorツールを使用することができます。このツールを使って、接続されたiOSデバイスにアプリケーションをインストールし、アプリを選択してアプリの情報を表示することができます。
React Nativeアプリケーションのソースコードを調べる方法は何ですか？
-React Nativeアプリケーションのソースコードを調べるには、アプリケーションのパッケージコンテンツを表示し、Visual Studio Codeなどのコードエディタで開くことができます。これにより、アプリケーションのJavaScriptコードや設定ファイルなどにアクセスすることができます。
AndroidアプリケーションのAPKファイルを取得する方法は何ですか？
-AndroidアプリケーションのAPKファイルを取得するには、ADB（Android Debug Bridge）ツールを使用することができます。ADB shell PM list packagesコマンドを使ってインストールされているパッケージを表示し、特定のパッケージのバンドル名を特定します。その後、ADB shell PM pathコマンドを使ってアプリケーションのパスを取得し、ADB pullを使ってAPKファイルをダウンロードすることができます。
APIキーを安全に保管するためにどのようなアドバイスがありますか？
-APIキーを安全に保管するために、以下のアドバイスが役立ちます。プロキシサーバーを介してAPIキーを保護し、アクセスを特定のドメインまたはバンドルIDに制限します。また、環境ファイルに秘密キーを保存し、ソースコード管理にコミットしないようにします。FirebaseやSupabaseなどのツールを使用すると、APIキーがバックエンドで保護されているため、フロントエンドでキーを保存しても問題ありません。
アプリケーションのセキュリティを向上させるためにどのような対策を講じることができますか？
-アプリケーションのセキュリティを向上させるために、APIキーをプロキシサーバー経由で使用し、アクセスを制限、環境ファイルに秘密キーを保存し、ソースコード管理にコミットしないようにするなどの対策を講じることができます。また、FirebaseやSupabaseなどのセキュリティが強化されたツールを使用することも有効です。
アプリケーションのソースコードが公開される可能性があることはどの程度リアルですか？
-アプリケーションのソースコードが公開される可能性は非常に高いです。黑客は多种の手段を用いてアプリケーションのソースコードにアクセスすることができます。そのため、アプリケーションに秘密情報を保存することは避け、サーバー環境でのみ秘密情報を使用することが推奨されます。
APIキーを発見するために検索するキーワードとして「console.log」はどのような役割を果たしますか？
-「console.log」は、開発者がアプリケーションのデバッグ情報を出力するために使用するJavaScript関数です。APIキーを発見するために、黑客は「console.log」を検索キーワードとして使用して、開発者が意図せずにデバッグ情報にAPIキーを出力しているかどうかを確認することができます。
Flutterアプリケーションのソースコードを逆コンパイルするにはどのようなツールが使用できますか？
-Flutterアプリケーションのソースコードを逆コンパイルするには、Hopperのような特別なツールを使用することができます。これらのツールは、アプリケーションを機械コードに戻すことができ、逆コンパイルされたコードを表示して編集することができます。ただし、Flutterアプリケーションの逆コンパイルはReact NativeやCapacitorなどよりも難しく、専門的な知識が必要です。
APIキーが漏洩した場合、どれくらいのリスクがありますか？
-APIキーが漏洩した場合、悪意のある第三者がサービスへの不正アクセスや不正使用を行うリスクがあります。しかし、一部のサービス（例えば、Crashlytics）では、APIキーの漏洨があっても、実際には大きな被害をもたらすことは希です。なぜなら、これらのサービスはバックエンドで強化されたセキュリティルールを持ち、フロントエンドのAPIキーは影響を与えることがないからです。
アプリケーションのセキュリティに関するビデオを観た後、APIキーの取り扱いについてどのように考えますか？
-アプリケーションのセキュリティに関するビデオを観た後、APIキーの取り扱いについては、より注意深く考える必要があります。アプリケーションに秘密情報を保存することは避け、サーバー側でのみ秘密情報を使用し、APIキーをセキュリティを強化したプロキシサーバーやサービスを利用することが推奨されます。また、環境ファイルにAPIキーを保存し、ソースコード管理にコミットしないようにすることが重要です。