Vlákno názorů k článku Mýty o bezpečnosti mobilního bankovnictví: jsou nutná dlouhá hesla a SMS? od Petr Dvořák - Ano - jde samozřejmě jen o RAM paměť,...
-
Hm, to abych si dával bacha jestli nemám stejné hesla do mobilního bankovnictví jako do internetového...a asi mám být rád, že jsem si neinstaloval jinou klávesnici, že?
Aby bylo jasno, o které paměti se tady píše? Jenom o RAM, nebo i ROM? Kdyby hesla zůstávaly jenom v RAM, tak to zas tak hrozné není. 1) RAM se průběžně čistí a 2) Po pár dnech provozu se telefon začne zpomalovat, tak ho vypnu/zapnu a tím RAM pročistím. -
Petr Dvořák (neregistrovaný)
Dobrý den,
bezpečnostní slabina způsobená absencí specializované klávesnice je na iOS poměrně malá (dnes umožní vydolovat data zadaná do klávesnice při útoku po ukradení na jail-breaknutých zařízeních) a na Androidu potenciálně velmi velká (spoléhání se na klávesnici, kterou si uživatel doinstaloval do systému, a která může dělat celou řadu věcí - to je trochu na hraně, že...).
Velmi hezky odborně toto téma rozebral Tomáš Rosa na "Smart Card and Devices Forum 2012". Prezentace je ke stažení zde:
http://crypto.hyperlink.cz/files/rosa_scforum12_v1.pdf
Velká část prezentace je o tom, že běžný iPhone/Android runtime je poměrně benevolentní z pohledu práce s pamětí a poté, co zadáte do textového pole text, tak i v případě, že se znaky opticky nezobrazují (resp. jsou hvězdičkované) zůstanou v paměti četné otisky zadaného textu. Screenshot otisku hesla "kubrt" zachyceného z memory dumpu na iOS je na slide s nadpisem "Illustration of Heap Pollution" - ať to nemusíte hledat. :)
Vtipná je jedna věc - o kousek před heslem "kubrt" je slovo "ubrt". To není náhoda - jedná se o derivát slova "kubrt", který systém generuje pro potřeby nabídnutí automatické korekce textu. Takže pokud si programátor nedá práci, "rozsprejuje" se mu heslo a jeho "deriváty" po paměti ani neví jak a kde... Jediný způsob, jak tomuto zabránit, je explicitně tuto situaci ošetřit...
-
Díky za super článek.
Taky jsem toho názoru, že dlouhé hesla, kombinace malých/velkách písmen, číslic apod. jsou zbytečná komplikace - stačí omezit počet pokusů o přihlášení.
Zarazila mě zmínka o možnosti vydolování hesla z mobilu a o šifrované klávesnici. U eKonta je to teda (snad) v pořádku, ale co jiné aplikace které používají standardní klávesnici? Na Androidu je to Fio, ČSOB, Mobito i mBank. Znamená to, že se dobře vybavený útočník dokáže dostat k heslům do těchto apliakcí? Nebo to jenom mají zabezpečené jinak?
PS: Proti RB mám sice spoustu výhrad, ale mobilní aplikace je skvělá. Mnohem lepší než u Fia, na které jinak nedám dopustit.
ČLÁNKY DO MAILU