Страницы

Поиск по вопросам

пятница, 24 января 2020 г.

TEE vs SharedPreferences в разработке android

#android #безопасность 


Вопрос довольно простой - что лучше TEE или настройки приложения sharedPreferences.
На текущий момент я разрабатываю приложение которое связывается с сервером для получения/отправки
данных, короче обычный клиент-сервер. Для того чтобы отправить/получить данные я использую
токены которые хранятся в памяти устройства SharedPreferences. Но на мой взгляд история
с sharedPreferences немного проигрывает потому что при наличии рут доступа можно спокойно
взять все что угодно из памяти устройства. Дальше немного теории:


  Безопасная среда исполнения (Trusted Execution Environment, TEE)
  характеризуется защищенностью, контролем целостности и наличием
  собственной оперативной памяти и пространства хранения. Она
  изолирована от обычной «функционально богатой среды исполнения» (Rich
  Execution Environment, REE), в которой работают операционная система и
  приложения мобильного устройства.


вот ссылка может кому будет интересно почитать про TEE. Этот вопрос задается для
того чтобы понять имеет ли смысл запариться и сделать к примеру авторизацию через отпечаток
пальца или же не мучиться и использовать логин/пароль как и раньше. Так же довольно
интересный вопрос - как например туда забросить данные типа токена или это невозможно.
Возьмем живой пример - приложение для банкинга (Приват24 или Сбербанк не суть) пользователь
выбрал как способ входа приложить свой палец к нужному месту на экране и дальше он
получает доступ к своим счетам. До сегодня я получал всю нужную мне информацию посредством
отправки токена на определенный адрес и все, но при прикладывании пальца дается ли
мне токен или же там как-то иначе все начинает работать? Может кто-то работал с такой
темой и может мне посоветовать куда копать и стоит ли копать вообще :)

P.S. Возможно заголовок немного нужно отредактировать, если что предлагайте свои
варианты.


Ответы

Ответ 1


Я копал. Лучше конечно смотреть в сторону TEE, есть либа RxFingerPrint, которая умеет
с помощью ключа аутентификации отпечатка складывать в защищенный KeyStore данные.

И что немаловажно все сделано в идеологии RxJava - мелочь, а приятно.

Автор: на
Ярлыки: , ,

Комментариев нет:

Отправить комментарий

Подписаться на: Комментарии к сообщению (Atom)