Wiadomości
Aplikacja mobilna do oszukiwania napastników
TAGI:
hasło
Fraunhofer Institute for Secure Information Technology z Niemiec sprzedaje aplikację komórkową, która zapewnia unikatowe mechanizmy przechowywania haseł do różnych usług i aplikacji.
Aplikacja MobileSitter przechowuje hasła, PINy i TANy (Transaction Authentication Number), które są szyfrowane i udostępniane użytkownikowi po wprowadzeniu hasła nadrzędnego.
Zagrożenia związane z przechowywaniem haseł przez takie aplikacje polega na tym, że istnieją metody uzyskania hasła nadrzędnego przez napastnika. Może wykorzystać atak brute-force lub słownikowy, w których specjalny program generuje automatycznie różne kombinacje znaków w celu odgadnięcia hasła metodą prób i błędów. Niektóre aplikacje przechowujące hasła nie ograniczają liczby prób wprowadzenia niewłaściwego hasła.
Natomiast MobileSitter zawsze zwraca odpowiedź niezależnie od tego, czy wprowadzone hasło nadrzędne jest właściwe czy nie. Jeżeli zapamiętano np. PIN karty debetowej o wartości "5555", ale wprowadzone hasło nadrzędne jest niewłaściwe, aplikacja "odszyfruje" wartość tego PIN w oparciu o wprowadzone niewłaściwe hasło, podając np. "8901".
Formalna odpowiedź na każde wprowadzone hasło jest wydawana niezależnie czy jest ono prawdziwe czy fałszywe. W takiej sytuacji napastnik nie wie czy otrzymana wartość jest poprawna, dopóki nie spróbuje z niej skorzystać.
Autoryzowany użytkownik MobileSitter może także zdefiniować reguły określające formę zwracanej, odszyfrowanej informacji. Reguła taka może np. zwracać wyłącznie czterocyfrowy PIN po zażądaniu informacji niewłaściwym hasłem nadrzędnym, niezależnie od tego czy przechowywane hasło skład się z samych cyfr czy z dowolnych znaków.
Z kolei, gdy sam użytkownik wprowadzi niewłaściwe hasło, aplikacja wyświetli ikonę, którą użytkownik wybrał w czasie tworzenia swojego hasła nadrzędnego. Taka ikona informuje użytkownika o wprowadzeniu błędnego hasła, natomiast napastnik nie zna jej znaczenia.
Aplikacja jest kompatybilna z telefonami obsługującymi Java, dopuszczającymi dostęp do systemu plików w telefonie. Sprzedawana jest na witrynie Fraunhofer za 9,9 Euro. W tym roku ma pojawić się jej wersja dla iPhone, przygotowywana jest też na platformę Android.
Zagrożenia związane z przechowywaniem haseł przez takie aplikacje polega na tym, że istnieją metody uzyskania hasła nadrzędnego przez napastnika. Może wykorzystać atak brute-force lub słownikowy, w których specjalny program generuje automatycznie różne kombinacje znaków w celu odgadnięcia hasła metodą prób i błędów. Niektóre aplikacje przechowujące hasła nie ograniczają liczby prób wprowadzenia niewłaściwego hasła.
Natomiast MobileSitter zawsze zwraca odpowiedź niezależnie od tego, czy wprowadzone hasło nadrzędne jest właściwe czy nie. Jeżeli zapamiętano np. PIN karty debetowej o wartości "5555", ale wprowadzone hasło nadrzędne jest niewłaściwe, aplikacja "odszyfruje" wartość tego PIN w oparciu o wprowadzone niewłaściwe hasło, podając np. "8901".
Formalna odpowiedź na każde wprowadzone hasło jest wydawana niezależnie czy jest ono prawdziwe czy fałszywe. W takiej sytuacji napastnik nie wie czy otrzymana wartość jest poprawna, dopóki nie spróbuje z niej skorzystać.
Autoryzowany użytkownik MobileSitter może także zdefiniować reguły określające formę zwracanej, odszyfrowanej informacji. Reguła taka może np. zwracać wyłącznie czterocyfrowy PIN po zażądaniu informacji niewłaściwym hasłem nadrzędnym, niezależnie od tego czy przechowywane hasło skład się z samych cyfr czy z dowolnych znaków.
Z kolei, gdy sam użytkownik wprowadzi niewłaściwe hasło, aplikacja wyświetli ikonę, którą użytkownik wybrał w czasie tworzenia swojego hasła nadrzędnego. Taka ikona informuje użytkownika o wprowadzeniu błędnego hasła, natomiast napastnik nie zna jej znaczenia.
Aplikacja jest kompatybilna z telefonami obsługującymi Java, dopuszczającymi dostęp do systemu plików w telefonie. Sprzedawana jest na witrynie Fraunhofer za 9,9 Euro. W tym roku ma pojawić się jej wersja dla iPhone, przygotowywana jest też na platformę Android.
Komentarze (2)
polecam program SafeCase !
przecież takie coś już jest od dawna w telefonach Sony-Ericsson
- Prawo Moore’a zagrożone?
- Bezpieczeństwo WiFi - bezprzewodowe testy penetracyjne
- Wirtualizacja: obsługa SMB na czterech U
- Prawdziwe powody powstania Microsoft Open Technologies
- Open source: zmierzch ery GPL? Nie do końca...
- ROVER - prosty sposób na słabość BGP?
- Zaawansowane stacje Wi-Fi Ruckus Wireless
- Rozstanie z Javą nie będzie proste
- Google Drive uwypukla słabe strony publicznych chmur obliczeniowych
- Serwery "zombie" w centrum danych
Reklama
Huawei celuje w rynek biznesowy
Huawei nieustannie rozwija się jako dostawca infrastruktury dla branży telekomunikacyjnej. W tym roku chiński koncern zamierza umocnić swoją pozycję również na rynku rozwiązań Enterprise.
Polecane
Koniec Windows XP początkiem problemów?
Microsoft oficjalnie potwierdził, że za dwa lata definitywnie zakończy się era Windows XP - systemu operacyjnego,...
Spokój i luz administratora
Wymagania wobec pracowników działów IT rosną proporcjonalnie do stopnia rozwoju teleinformatyki. Oczekuje się, że...