1. Ragaszkodjon a biztonsághoz
Számos biztonsági kártyakezelő alkalmazás létezik, de úgy tűnik, egyik sem hű a biztonsághoz.
Kaptam néhány másik biztonsági kártya alkalmazást és elemeztem őket, de nagyon könnyen vissza tudtam fejteni az adatokat.
Az általam létrehozott alkalmazás adatfájlja teljesen lehetetlen a felhasználó által beállított jelszó ismerete nélkül.
Az automatikus bejelentkezés és az ujjlenyomat-felismerő funkciók használata esetén azonban lehetséges a visszafejtés, ha a biztonsági kártya plusz forrás és a terminál, amelyben az adatokat tárolják, védettek.
A biztonsági kulcs 256 bites volt.
A felhasználó által beírt jelszó sehol nem tárolódik a készüléken.
(Ha azonban az automatikus bejelentkezési/ujjlenyomat-felismerő bejelentkezési funkciót használja, akkor az éppen használt terminálinformáció titkosítva és tárolva lesz.)
Az összes adat titkosítása a titkosítási kulcs kinyerésével történik a bejelentkezéskor megadott egyszerű szövegből.
A kinyert titkosítási kulccsal titkosítva van, így akkor is biztonságos, ha az adatfájl kiszivárog.
A titkosítási kulcs létrehozása és a titkosítási/visszafejtési folyamat el lett rejtve a JNI használatával.
A jelszó megváltoztatásakor minden adat újra titkosításra kerül a megváltoztatott jelszóból kinyert kulccsal és eltárolódik.
Ha egy hacker megpróbál visszafejteni egy adatfájlt, az 32 próbálkozás erejéig 256-ot vesz igénybe.
A számológép így köpte ki. 1,1579208923731619542357098500869e+77
Természetesen a visszafejtés semmiképpen sem lehetetlen. Csak hát ez sokáig tart...
Több tízezer évbe telne, ha a fenti számokat egy általános számítógépre cserélnénk.
Az így talált jelszó pedig csak az adott felhasználói adatok jelszava.
A többi felhasználó adatai biztonságban vannak.
2. Biztonsági kártya beviteli kényelem
A biztonsági kártyát úgy készítettem el, hogy a kamerával lefényképezve a kód felismerésével regisztrálható legyen.
A fényképezőgéppel készített fényképek csak a memóriában léteznek, és a felismerés után eltűnnek.
3. Mini felugró ablakot biztosít a könnyebb használat érdekében.
Próbálja meg használni a biztonsági kód lekérdezési képernyőjén megjelenő előugró ablakra kattintva.
Automatikus bejelentkezési funkció, ujjlenyomat-felismerő bejelentkezés
A telepítéshez engedélyek szükségesek
Ujjlenyomat-felismerés -
Kamera - Biztonsági kártya kód felismerés
SD-kártya – adatmentés (visszaállítás)
Hálózat – Alkalmazásfrissítések keresése
AccessibilityService API
Ellenőrizni kell, hogy fut-e a banki alkalmazás, a beállított alkalmazás végrehajtásakor a biztonsági kártya felugró ablaka fut le.
Nem használjuk ezt az API-t személyes vagy érzékeny felhasználói adatok gyűjtésére vagy megosztására.