백업에 대한 보안 권장사항

OWASP 카테고리: MASVS-CODE: 코드 품질

개요

앱 백업의 목표는 나중에 새 기기로 복원하거나 데이터가 손실될 때 복원될 수 있도록 사용자의 데이터를 보존하는 것입니다. 앱 백업과 관련된 기존 보안 권장사항은 Android 버전 및 기기 제조업체에 따라 미묘하게 다릅니다. 이러한 권장사항의 공통적인 주제는 민감한 정보가 유출되지 않도록 하는 것입니다.

표준 Android 백업 시스템은 앱이 자동 백업 (기본적으로 사용 설정되어 있으며 구현 작업이 필요하지 않고 확장할 수도 있음) 및 키-값 백업을 통해 데이터를 클라우드에 백업하거나 새 기기로 데이터를 전송할 수 있는 가장 안전하고 강력하며 쉬운 솔루션을 제공합니다. 이 솔루션은 다른 서드 파티 앱에서 액세스할 수 없는 디렉터리에 결과 백업 데이터를 저장할 뿐만 아니라 보관 중 암호화, 전송 중 암호화, 민감한 정보를 백업에서 제외할 수 있는 구성을 지원하므로 권장됩니다.

대신 앱이 표준 Android 백업 시스템을 사용하지 않는 백업 솔루션을 구현하면 실수가 발생하여 민감한 정보가 유출될 가능성이 커집니다. 사용자 데이터를 유출에 노출시키는 비표준 백업 솔루션의 예로는 다른 앱에서 읽을 수 있는 디렉터리에 앱 데이터의 사본을 만드는 '내보내기' 또는 '백업' 기능을 제공하는 앱이 있습니다. 이러한 앱은 직접 또는 다른 취약점을 통해 유출되기 쉽습니다.

영향

앱 백업을 설정할 때 보안 권장사항을 따르면 백업에 포함될 수 있는 민감한 정보의 잠재적 유출을 방지할 수 있습니다. 실제 데이터와 공격자의 의도에 따라 민감한 정보 유출로 인해 정보가 공개되거나, 사용자가 명의 도용되거나, 금전적 손실이 발생할 수 있습니다.

완화 조치

표준 Android 백업 시스템 사용

표준 Android 백업 시스템은 전송 중 데이터와 저장 중 백업 데이터를 항상 암호화합니다. 이 암호화는 사용 중인 Android 버전과 기기에 잠금 화면이 있는지 여부와 관계없이 적용됩니다. Android 9부터는 기기에 잠금 화면이 설정되어 있는 경우 백업 데이터가 암호화될 뿐만 아니라 Google에 알려지지 않은 키로 암호화됩니다. 잠금 화면 비밀번호는 암호화 키를 보호하므로 엔드 투 엔드 암호화가 사용 설정됩니다.

일반적으로 데이터 저장소보안 가이드라인을 따라야 합니다.

백업에 특히 민감한 정보가 포함된 경우 이 데이터를 제외하거나 제외할 수 없는 경우 다음 섹션에 설명된 대로 엔드 투 엔드 암호화를 요구하는 것이 좋습니다.

백업에서 데이터 제외

일반적으로 backup_rules.xml라고 하며 res/xml 앱 폴더에 배치되는 규칙 파일을 사용하여 백업에서 제외할 데이터를 지정할 수 있습니다. 백업 규칙을 구성하는 방법은 사용되는 Android 버전에 따라 차이가 있습니다.

그런 다음 업데이트된 구성 형식에 따라 애플리케이션의 데이터 지속성 및 보안 요구사항에 따라 backup_rules.xml 파일을 구성합니다.

backup_rules.xml 파일 구성에 필요한 형식을 사용하면 개발자가 Cloud와 기기 간(D2D) 전송 모두에 맞는 맞춤 백업 규칙을 정의할 수 있습니다. <device-transfer> 속성을 설정하지 않으면 D2D 이전 중에 모든 애플리케이션 데이터가 전송됩니다. 타겟 애플리케이션이 Android 12 이상을 타겟팅하더라도 Android 11 (API 수준 30) 이하를 실행하는 기기에는 항상 추가 백업 규칙 집합이 포함된 별도의 파일을 지정해야 합니다.

  • Android 버전 11 이하의 경우 AndroidManifest.xml<application> 요소에 android:fullBackupContent 속성을 추가합니다.
  • XML xml <application android:name="com.example.foo" android:fullBackupContent="@xml/backup_rules_full"> … </application>

그런 다음 사용자 데이터 백업 문서에 보고된 구문을 사용하여 애플리케이션의 데이터 지속성 및 보안 요구사항에 따라 backup_rules.xml 파일을 구성합니다.

엔드 투 엔드 암호화 필요

백업에서 민감한 정보를 제외할 수 없는 경우 엔드 투 엔드 암호화를 요구하는 것이 좋습니다. 즉, Android 9 이상에서 잠금 화면이 설정된 경우에만 백업을 허용합니다. requireFlags="clientSideEncryption" 플래그를 사용하면 됩니다. 이 플래그는 Android 12부터 이름을 disableIfNoEncryptionCapabilities로 바꾸고 true로 설정해야 합니다.

표준 Android 백업 시스템을 사용할 수 없는 경우

표준 Android 백업 시스템을 사용할 수 없는 경우 백업 데이터를 안전하게 저장하고 백업에서 제외할 데이터를 지정하는 것이 더 복잡해집니다. 이는 코드 수준에서 지정해야 하므로 오류가 발생하기 쉽고 데이터 유출 위험이 있습니다. 이 시나리오에서는 구현을 정기적으로 테스트하여 예상되는 백업 동작이 변경되지 않았는지 확인하는 것이 좋습니다.

리소스