DEV Community

Cover image for Segurança para Apps em Flutter
Henrique Pomatti dos Santos
Henrique Pomatti dos Santos

Posted on

Segurança para Apps em Flutter

Fala pessoal! Tudo certo por ai?

Então, o intuito principal dessa documentação é passar algumas informações e mostrar alguns métodos de segurança para os Apps em Flutter, visando diminuir consideravelmente as chances de um ataque a nossa aplicação.

Então bora!

Primeiramente devemos entender que hoje praticamente todas as aplicações mobile possuem pagamentos integrados ou informações importantes, como informações pessoais de usuários, com isso vamos abordar aqui alguns métodos para minimizar o risco de alguém malicioso tentar acessar essas informações.

Protegendo a camada de comunicação

A primeira coisa que um hacker provavelmente irá olhar em nossa aplicação seria tentar interceptar alguma informação passada pelo app para o backend, vendo isso, temos algumas opções:

Encriptação dos dados:

Você pode fazer isso usando protocolos como SSL e TLS, que são simples de adicionar ao seu código e muito difíceis de serem comprometidos.
Se você está lidando com dados particularmente sensíveis, você pode até ir um pouco mais longe e construir uma solução do tipo VPN diretamente em seu aplicativo.

Uma doc que pode ajudar: https://medium.com/surfstudio/ssl-pinning-in-flutter-apps-254e01e57965

Restringindo o tráfego:

Uma maneira de restringir o tráfego de rede ou a conexão a um endpoint é colocar seu domínio na lista de permissões explicitamente.
Para fazer isso no aplicativo flutter, precisamos seguir algumas etapas para cada plataforma:

Android:
Crie este arquivo dentro da pasta android:

res/xml/network_security_config.xml

Então copie isso e jogue lá:

<?xml version="1.0" encoding="utf-8"?>
<network-security-config>
    <domain-config>
        <domain includeSubdomains="true">YOURDOMAIN.com</domain>
        <trust-anchors>
            <certificates src="@raw/YOURCERTIFICATE"/>
        </trust-anchors>
    </domain-config>
</network-security-config>
Enter fullscreen mode Exit fullscreen mode

iOS:

Adicione isso no arquivo info.plist:

<key>NSAppTransportSecurity</key>
<dict>
  <key>NSAllowsArbitraryLoads</key>
  <false/>
  <key>NSExceptionDomains</key>
  <dict>
    <key>YOURDOMAIN.com</key>
    <dict>
      <key>NSIncludesSubdomains</key>
      <true/>
      <key>NSExceptionAllowsInsecureHTTPLoads</key>
      <true/>
    </dict>
  </dict>
</dict>
Enter fullscreen mode Exit fullscreen mode

Apenas substitua o YOURDOMAIN.com pelo seu domínio!

Aplicação de certificado:

De forma simples, você pode obter um certificado para acesso ao servidor com o desenvolvedor backend e após isso poderia aplicar este certificado em cada chamada de API. Portanto, o cliente HTTP aceitará esse certificado como confiável.

E para implementar isso no Flutter:

Provavelmente a extensão do certificado será “.cef”, porém ela não pode ser lida pelo Flutter, então temos que converte-la para “.pem” usando este comando:

openssl x509 -inform der -in Certificate.cer -out Certificate.pem

Após isso, o certificado pode ser adicionado como uma asset e referenciado no pubspec.yaml.

Exemplo de requisição usando o Dio:

final dio = Dio(); 
ByteData bytes = await rootBundle.load('assets/Certificate.pem');  
(dio.httpClientAdapter as 
DefaultHttpClientAdapter).onHttpClientCreate  = (client) {      
SecurityContext sc = SecurityContext();      
sc.setTrustedCertificatesBytes(bytes.buffer.asUint8List());      
HttpClient httpClient = HttpClient(context: sc);      
return httpClient;    
};
Enter fullscreen mode Exit fullscreen mode

Autenticação a prova de balas!

Além dos fluxos de dados do seu aplicativo, o próximo vetor de ataque mais comum a ser eliminado é qualquer fraqueza em seus métodos de autenticação.
Portanto, a autenticação de dois fatores com seu servidor é necessária e vale a pena ser implementada.
Além disso, você também precisa prestar atenção em como lida com coisas como trocas de chaves. No mínimo, você deve usar criptografia para manter essas transações seguras.

  • Agora que já vimos algumas formas de proteger a camada de transporte para o seu servidor, vamos ver algumas formas de proteger seu app por ele mesmo!

Protegendo a aplicação

Ofuscar código:

Os binários compilados e o código de seus aplicativos podem sofrer engenharia reversa. Algumas das coisas que podem ser expostas incluem strings, nomes de métodos e classes e chaves de API. Esses dados estão em sua forma original ou em texto simples.

No lado do dart, podemos usar o seguinte comando com o parâmetro --obfuscate quando estivermos buildando a APK.

flutter build appbundle --obfuscate --split-debug-info=/

Já no lado nativo, você deve fazer algumas alterações:

Android:

Dentro do /android/app/build.gradle adicione o seguinte:

android {
    ...
    buildTypes {
        release {
            signingConfig signingConfigs.release
            minifyEnabled true
            useProguard true
            proguardFiles getDefaultProguardFile('proguard-android.txt'), 'proguard-rules.pro'
        }
    }
}
Enter fullscreen mode Exit fullscreen mode

Também crie uma configuração ProGuard em /android/app/proguard-rules.pro:

# Flutter
-keep class io.flutter.app.** { *; }
-keep class io.flutter.plugin.**  { *; }
-keep class io.flutter.util.**  { *; }
-keep class io.flutter.view.**  { *; }
-keep class io.flutter.**  { *; }
-keep class io.flutter.plugins.**  { *; }
Enter fullscreen mode Exit fullscreen mode

Com o ProGuard, ele não apenas ofusca seu código, mas também ajuda a reduzir o tamanho de seus aplicativos Android.

iOS:

Se você estiver usando Objective-C ou Swift e compilando para iOS, o compilador remove os símbolos e aplica otimizações ao seu código, tornando já mais difícil para o invasor motivado ler a saída compilada do seu código.

Também existem ferramentas pagas que ajudam a ofuscar seu código: iXGuard e Vermatrix.

Jailbroken iOS e Android com root:

IOS desbloqueados e dispositivos Android com root possuem mais privilégios e pode introduzir malware no dispositivo de seu usuário que pode burlar as operações normais do dispositivo.

flutter_jailbreak_detection é uma package do Flutter que ajuda a detectar se o seu app está rodando nesses tipos de dispositivos.

Ele utiliza o RootBeer no Android e o DTTJailbreakDetection no iOS.

Para usá-lo:

import 'package:flutter_jailbreak_detection/flutter_jailbreak_detection.dart';

bool jailbroken = await FlutterJailbreakDetection.jailbroken;
bool developerMode = await FlutterJailbreakDetection.developerMode; 
// android only.
Enter fullscreen mode Exit fullscreen mode

Assegurando dados dos usuários

Para guardar informações sensíveis dos usuários, não é bom ser usado o shared preferences ou sqflite, pois eles são bibliotecas “abertas” e podem ser acessadas em qualquer dispositivo, para encriptar os dados você pode usar o Flutter Secure Storage.
https://pub.dev/packages/flutter_secure_storage

Usando autenticação local

Supomos que o dispositivo do usuário foi roubado com a sua aplicação instalada e dentro há informações sobre pagamentos! Puts, e agora?

Para isso, podemos usar métodos de autenticação local que irá prevenir o acesso indevido!

https://pub.dev/packages/local_auth

Prevenção de capturas de informações de tela

Quando um aplicativo está em segundo plano, o sistema operacional deixa salva as informações do último estado visível para apresentar no alternador de tarefas. Evitar que os saldos das contas e detalhes de pagamento sejam capturados é altamente desejado.

E temos mais uma lib para ajudar!

https://pub.dev/packages/secure_application

Top comments (0)

Read next

tishksuran profile image

Developing an Arabic Learning Terminal-Based App!

TishkSuran -

karvendhan profile image

Software Testing

Karvendhan -

jeverhart383 profile image

Building a Notion-style activity feed with Next.js and shadcn/ui

Jeff Everhart -

tanujav profile image

Count Good Nodes in Binary Tree | LeetCode | Java

Alysa -