MEGA sekurak hacking party już 13. czerwca – zdobądź bilety tutaj.

Klonowanie tokena generującego kody jednorazowe

04 stycznia 2014, 13:51 | W biegu | 0 komentarzy

Ciekawy wpis pokazujący analizę bankowej aplikacji androidowej do generowania kodów jednorazowych. Autor krok po kroku pokazuje narzędzia do analizy aplikacji, a finalnie na podstawie zdekodowanej logiki tworzy własny token na platformie Arduino, który zachowuje się idealnie jak oryginalny:

Sprawę ułatwia tutaj na pewno otwartość platformy Android, która wpływa na łatwiejszą możliwość analizy aplikacji (np. w porównaniu do iOS). Pokazuje to też,  że sprawa bezpieczeństwa mobilnego zaczyna być coraz bardziej istotna – w końcu odpowiednio przygotowany na Androida malware mógłby równie dobrze sklonować token.

Autor dodaje też, że z wykorzystaniem całej techniki nie można „magicznie” tworzyć tokenów należących do innych użytkowników. Jeszcze z innej strony, ciężko wyobrazić sobie dodatkowe a zarazem nieingerujące w wygodę użytkownika zabezpieczenia tego typu aplikacji mobilnych (w końcu można co najwyżej opóźniać reverse engineering całego algorytmu…). Dodatkowe bezpieczeństwo w tym przypadku to raczej kwestia rozważenia czy chcemy podjąć ryzyko udostępniania tego typu aplikacji w wersji na urządzenia mobilne.

–ms

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

Odpowiedz