Sichere mobile Apps mit plattformübergreifenden Frameworks entwickeln : Herausforderungen und Lösungsansätze für EntwicklerInnen : challenges and approaches for developers

Abstract

Mobile Endgeräte, wie Smartphones oder Tablets sind heute wesentliche Bestandteile unseres privaten und beruflichen Lebens und werden für verschiedenste Tätigkeiten verwendet. Die verschiedenen Geräteplattformen und Systeme sind eine große Herausforderung für mobile EntwicklerInnen heute. Plattformübergreifende Frameworks mit dem ideologischen Ansatz "Write Once, Run Anywhere" wurden entwickelt, um diese Herausforderungen zu überwinden. Beispiele solcher Frameworks sind Apache Cordova von Apache Software Foundation, Xamarin von Xamarin Inc. einer Tochtergesellschaft von Microsoft und React Native von Facebook Inc. Die Verwendung digitaler Technologien erzeugt eine enorme Menge an Daten mit sensiblen Informationen über die eigene Persönlichkeit, Vorlieben und Verhalten. Der Schutz dieser Daten vor unerlaubtem Zugriff ist notwendig um die Privatsphäre jedes Einzelnen zu gewährleisten und zu respektieren. SoftwareentwicklerInnen, die diese Technologien und Anwendungen entwickeln, spielen dabei eine wichtige Rolle. Deshalb untersuchen wir die Probleme und Herausforderungen der EntwicklerInnen um sichere mobile Apps mit plattformübergreifenden Frameworks zu entwickeln. Wir evaluieren offizielle Dokumentationen der Frameworks und sammeln und analysieren Stack Overflow Beiträge, da diese wichtige Informationsquellen für EntwicklerInnen sind. Dabei hat sich herausgestellt, dass in allen drei Frameworks OAuth 2.0 Autorisierung für viele EntwicklerInnen sehr herausfordernd ist. Trotz der vorhandenen Spezifikation ist die Implementierung in der Realität komplex. Deshalb untersuchen wir die verschiedenen Ansätze zur Umsetzung in den Frameworks, welche je nach OAuth Provider unterschiedlich sein können und diskutieren die zugrundeliegenden Sicherheitsaspekte.

Mobile devices such as smartphones or tablets are an essential part in our daily lives. To date multiple platforms pose a major challenge for mobile developers. Cross-platform frameworks, based on the so-called "Write Once, Run Anywhere" approach were established to overcome these issues. Some of these frameworks are Apache Cordova from the Apache Software Foundation, Xamarin from Xamarin Inc. a subsidiary company from Microsoft and React Native from Facebook Inc. Our daily use of digital technologies produces an enormous amount of data including sensitive information about their users' personality, preferences or behaviors. Protecting these data to avoid unauthorized access is required to ensure and respect everyone's privacy. Software developers that are implementing and establishing these technologies and applications thereby play an important role. Thus, we investigate challenges for secure mobile app development from the developers' perspective built with cross-platform frameworks. We evaluate the frameworks' official documentations and collect and analyze posts from Stack Overflow as they are major information sources. We found that authorization with the OAuth~2.0 protocol is a big challenge for developers with respect to all three frameworks. Despite of a specification, the implementation in reality is complex. Thus, we investigate different implementation approaches across the cross-platform frameworks, which may be different depending on the OAuth provider and furthermore discuss their impact on app security.