Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
Klonowanie tokena generującego kody jednorazowe
Ciekawy wpis pokazujący analizę bankowej aplikacji androidowej do generowania kodów jednorazowych. Autor krok po kroku pokazuje narzędzia do analizy aplikacji, a finalnie na podstawie zdekodowanej logiki tworzy własny token na platformie Arduino, który zachowuje się idealnie jak oryginalny:
Sprawę ułatwia tutaj na pewno otwartość platformy Android, która wpływa na łatwiejszą możliwość analizy aplikacji (np. w porównaniu do iOS). Pokazuje to też, że sprawa bezpieczeństwa mobilnego zaczyna być coraz bardziej istotna – w końcu odpowiednio przygotowany na Androida malware mógłby równie dobrze sklonować token.
Autor dodaje też, że z wykorzystaniem całej techniki nie można „magicznie” tworzyć tokenów należących do innych użytkowników. Jeszcze z innej strony, ciężko wyobrazić sobie dodatkowe a zarazem nieingerujące w wygodę użytkownika zabezpieczenia tego typu aplikacji mobilnych (w końcu można co najwyżej opóźniać reverse engineering całego algorytmu…). Dodatkowe bezpieczeństwo w tym przypadku to raczej kwestia rozważenia czy chcemy podjąć ryzyko udostępniania tego typu aplikacji w wersji na urządzenia mobilne.
–ms