¿La carga útil de la notificación push también debe estar cifrada?

5

Si tiene una aplicación totalmente encriptada de extremo a extremo, los mensajes de envío enviados al APNS o GCM también deben estar encriptados.

La carga útil solo contiene identificadores de mensajes, de uid n conversation gid. ¿Existe un riesgo importante si no ciframos esto?

¿Cómo lo hacen otras aplicaciones como WhatsApp o Signal? Leí que Signal solo envía una llamada de activación sin detalles adicionales en su carga de notificaciones Push.

    
pregunta WiredTheories 19.01.2018 - 09:39
fuente

2 respuestas

1

Creo que deberías cifrar esto, debido a la filtración de datos del perfil, esta información puede contener el tiempo de conversación entre dos clientes (incluso si eliminan los mensajes) y es muy buena para la marca, puedes decir que tienes la aplicación totalmente encriptada. pero para determinar el riesgo real, debe preguntarse a sí mismo, con información como "identificadores de mensajes" qué puede obtener sobre el usuario, cuando le digo que me refiero a todas las personas con acceso a la base de datos y al servidor. ¿Puedes averiguar el mensaje de quién y para quién? En caso afirmativo su riesgo de fuga de datos.

sobre la aplicación de señal de acuerdo con esto enlace tienen fuga de datos en la aplicación de escritorio (pero envían el cuerpo del texto en las notificaciones de su pesadilla) pero en su caso, no envía el cuerpo del texto a los clientes.

de acuerdo con preguntas frecuentes sobre la aplicación : sus mensajes, fotos, videos, mensajes de voz, documentos, actualizaciones de estado , y las llamadas están protegidas de caer en las manos equivocadas.

parece que no cifran las notificaciones. pero zulip mobile encriptar notificaciones

    
respondido por el Benyamin 07.09.2018 - 23:13
fuente
0

Todo depende del nivel de seguridad que desee para sus usuarios / clientes o lo que sus usuarios / clientes requieran. Por lo general, las identificaciones de los mensajes no son mucha información para un atacante que desea conocer sus conversaciones.

No sé cómo lo hace Whatsapp pero Apple tiene UNNotificationServiceExtension que te permite cifrar completamente la carga de notificación a través de APNS y luego deje que la aplicación realice el descifrado antes de mostrar la notificación. Estoy seguro de que hay una API similar en Android.

Y dado que ya hay API que lo ayudan a hacer esto muy fácilmente ... ¡¿por qué correr el riesgo de no cifrar?

    
respondido por el daygoor 08.10.2018 - 06:08
fuente

Lea otras preguntas en las etiquetas