Klonowanie tokena generującego kody jednorazowe

Ciekawy wpis pokazujący analizę bankowej aplikacji androidowej do generowania kodów jednorazowych. Autor krok po kroku pokazuje narzędzia do analizy aplikacji, a finalnie na podstawie zdekodowanej logiki tworzy własny token na platformie Arduino, który zachowuje się idealnie jak oryginalny:

Sprawę ułatwia tutaj na pewno otwartość platformy Android, która wpływa na łatwiejszą możliwość analizy aplikacji (np. w porównaniu do iOS). Pokazuje to też,  że sprawa bezpieczeństwa mobilnego zaczyna być coraz bardziej istotna – w końcu odpowiednio przygotowany na Androida malware mógłby równie dobrze sklonować token.

Autor dodaje też, że z wykorzystaniem całej techniki nie można „magicznie” tworzyć tokenów należących do innych użytkowników. Jeszcze z innej strony, ciężko wyobrazić sobie dodatkowe a zarazem nieingerujące w wygodę użytkownika zabezpieczenia tego typu aplikacji mobilnych (w końcu można co najwyżej opóźniać reverse engineering całego algorytmu…). Dodatkowe bezpieczeństwo w tym przypadku to raczej kwestia rozważenia czy chcemy podjąć ryzyko udostępniania tego typu aplikacji w wersji na urządzenia mobilne.

–ms