PIN код и безопасность данных приложения Android. Как правильно реализовать?

Question

[Liudar]

Добрый день. Разбираюсь с безопасным хранением информации в своем приложении для Android, и столкнулся с интересным моментом: можно ли считать PIN код для входа в приложение (самопальный) достаточной защитой?
Допустим, у злоумышленника есть физических доступ к устройству (ну украл он его, почему нет? чем не сценарий атаки?). В самом простом случае, если разработчик не задумался о безопасности хранения данных, можно или банально открыть приложение и получить доступ ко всей интересной злоумышленнику информации, или же слить файл Бд (sqlite, например) и расковыряв его вытянуть все данные. отсюда напрашиваются следующие выводы:
1. Необходима защита для входа в приложение (PIN код или пароль)
2. Необходимо хранить все данные в зашифрованном виде.

Идея проста - у пользователя есть некий, заданный им, мастер-ключ, которым шифруется вся информация (БД). Ключ большой и длинный, и чтобы при каждом входе в приложение пользователю не надо было его вводить, вводим новую сущность - PIN код для входа в приложение (код из 4 цифр). Сам мастер-ключ хранится на этом же устройстве в зашифрованном виде, и ключом является PIN код (точнее, производная от него. Например, MD5 хеш). В данном случае все выглядит очень безопасно, не так ли? Но если подумать, смоделировать ситуацию. то все становится гораздо печальнее.

Допустим, злоумышленник выкрал девайс жертвы, и слил зашифрованную БД приложения. Далее, злоумышленник может банальным брутфорсом (10^4 комбинаций - мелочь) перебрать все возможные варианты PIN кода, пока не найдет нужный. Для этого необходимо знать алгоритм работы приложения, что не является существенной проблемой. Одно из правил защиты информации гласит: нельзя считать защищенной систему, вся защита которой заключается в секрете механизма защиты (перефразировал своими словами для подходящего случая). Узнать методику защиты не составляет большого труда. Далее, если процедура дешифровки БД выдает даже полную белиберду, злоумышленнику достаточно расковырять копию БД с известным PIN кодом (поставить приложение на свой девайс, установить PIN, заполнить данные, расковырять БД) и найти структуру хранения данных, а точнее сигнатуры данных (Например JSON - {_id: x, name: "xxxx"} и прогнать все варианты дешифровки через простой сигнатурный поиск (даже простой regex справится с задачей). А далее мы получаем:
1. Всю "защищенную" и "приватную" информацию пользователя
2. Заведомо корректный PIN для входа в приложение.

И неизвестно ,что хуже. Допустим, что приложение для банк-клиента защищено именно так. В таком случае, зная PIN для входа в приложение и имея физический доступ к девайсу перевести все средства пользователя себе (PIN известен, СМС придет на это самое устройство) для злоумышленника не составляет труда.

Отсюда возникает вывод: если вся защита построена на PIN коде (уязвим для перебора) и имеется возможность провести брутфорс - защита не стоит ничего. Но при этом все банковские приложения используют этот (или похожий) механизм защиты.
Отсюда вопрос:
1. Действительно ли все так плохо и нельзя доверять подобным приложениям?
2. Реально ли разработать нормальную, устойчивую к взлому систему с использованием PIN кода для входа (не графический ключ и отпечаток пальца, а именно коротккий и легко перебираемый код)? Если да - то как?

З.Ы. Уверен, что чего-то важного я не знаю, и это мешает разобраться в вопросе.

UPD:

В общем и целом задачка выглядит неразрешимой. Т.к. есть "черный ящик" - наше приложение, установленное на девайсе. Для получения всех данных нужно знать только четырехзначный пин, а он брутфорсится на раз. Считается., что имея на руках девайс, злоумышленник может выковырять любые данные оттуда. А отсюда вопрос - верно ли последнее утверждение? Может, есть какое-то супер защищенное хранилище Android? Локально хранящееся на устройстве, и которое достаточно сложно взломать? Если приложение будет иметь доступ туда - писать туда ключик, и задача решена. Но что это за загадочное место?

UPD2:

Итак, нашел эту статью. Все достаточно понятно расписано. Вывод простой - хранить ключи надо в KeyStore, но это не спасение, если девайс рутован. Нужно проверять, рутован ли девайс, и предупреждать пользователя. НО! Насколько я понял, есть возможность рутировать девайс без потери данных, а это означает, что злоумышленник может рутировать девайс, сохранив все данные, и расковырять KeyStore. Беда.

Но если не вдаваться в проблему рутования, то решение выглядит следующим образом: по PIN коду происходит вход в приложение, а приложение вытягивает ключ, сгенерированный при первом запуске приложения, из KeyStore и им расшифровывает БД. При этом не сохраняет расшифрованные данные в незащищенном месте (часто это используют для увеличения скорости работы приложения, этакое кеширование данных), т.к. эти данные можно вытянуть без проблем.

Теперь понятно, почему многие банковские приложения не запускаются на рутированных девайсах. Но это не решает проблемы рутирования без потери данных. Т.е. допустим, что злоумышленник умыкнул мой НЕ рутованный девайс, рутанул его, вытянул из KeyStore ключик для приложения банк-клиента, и вытянул мои данные. При этом, для проверки корректности PIN, необходимо где-то хранить его хэш (зашифрованный, соленый - и что? И соль и пароль шифрования лежит в уже доступном для злоумышленника KeyStore). Таким образом полным перебором можно подобрать PIN для входа в приложение, зайти в приложение и перевести все средства. Снести все банковские приложения, что-ли?))

Answer 1

[mr_serg77]

Посмотрите в сторону Firebase авторизация.

Comments

[Liudar]

Firebase, насколько я понимаю, это механизм двухвфакторной аутентификации посредством Email. В моем случае я использую отправку СМС (да, их тоже можно перехватить, но для мобильного приложения я считаю это более
а. удобным
б. надежным). Но Firebase хранит сессионный ключ на локали (что не мешает его вытянуть при физическом доступе к девайсу). Он защищает от попытки взлома без доступа к девайсу, но не спасает от последнего. Помимо прочего, требует постоянного подключения к сети Интернет, а это не удобно, для решения моей задачи.

[mr_serg77]

Liudar, Тогда в принципе не парьтесь. Добавьте в код проверку на кл-во попыток (что бы отсечь брут), и используйте proguard, времени на реверс-инжиринг уйдет больше, чем пользователю может понадобиться на решение проблемы.

Answer 2

[Александр Варакосов]

Всё не так просто. Чаше всего, если вы видите зашифрованную БД, то это SQLCipher. Ключ для шифрования базы, будет уникальным для каждого устройства, а дешифрирование займёт неприличное количество времени.
Что касается пинкода, делаете задержку или блокировку после определённого количества попыток ввода.
Получается достаточно надёжная система. Достаточно, чтобы злоумышленник обратил внимание на иные способы.

Comments

[Liudar]

Возникает вопрос в механизме работы SQLCipher'a. Если у злоумышленника есть физический доступ к девайсу, неужели нельзя выковырять ключ, которым зашифровано БД? Если нет - то почему?

З.Ы. Спасибо за наводку, юуду в эту сторону копать, но пока непонятно, как оно работает))

[Александр Варакосов]

Liudar, код открыт, можете поковырять) Там очень весёлые вещи.

[Liudar]

Посмотрел. Прикол в том, что SQLCipher шифрует БД через AES256, а где хранить ключ - решает разработчик. Допустим, мы его положим рядом с БД в файлик. И? Тогда сливаем ключ, расшифровываем БД.
Зашить в исходный код? Декомпиляция кода apk расковыряет статичные данные, долго, но реально.

Единственное решение, которое на данный момент не понимаю, но которое рекоммендуют многие (в т.ч. Гугл) - AndroidKeyStore. Что это за зверь до конца не понял. Это фиговина для подписания приложения, т.е. защита приложения от подмены. Но как там ключик хранить, или использовать тот, который туда вшит (когда генерируется сертификат для подписи в приложение вшивается ключ) - не понятно. Да и как там с безопасностью? Если есть физический доступ к девайсу - выковырять можно что угодно.

Answer 3

[xmoonlight]

1.

СМС придет на это самое устройство

Блокируйте SIM-карту и счёт - проблема решена
2. Получение статуса SIM-карты: здесь
3. Все важные операции подтверждаются через SMS или звонком оператора банка.
4. Приложение при запуске может стереть клиентский токен (получаемый при первом входе от сервера) на основе любых факторов. А открытие данных - только с ним!
5. Срок действия клиентского токена - ограничен.
6. Приложение может отправить запрос по SMS в SMS-сервис службу банка для генерации нового PIN-кода, который должен будет прийти в SMS.
7. Поведенческий фактор: лицо с фронталки (или полное его отсутствие), запуск приложения из новой геопозиции и т.д. -> тоже как и в п.3.

Можно прикрутить NFC-модуль телефона вместе с картой бесконтактной оплаты)
Если она не приложена к телефону - никакого пин-кода не запрашивается.

Comments

[Liudar]

1. не всегда пользователь может это сделать, и не всегда знает, что ему нужно это делать (обычно сим восстанавливают). Необходимо учитывать, что пользователь может "Тупануть"

2. И что это дает?

3. Смс приходит на тот же девайс. Если по п.1. сим не заблокировано - не помеха.

4. А как программа поймет, что ее запускает не "хозяин", а "злоумышленник"? Никак. И значит при каждом входе "Хозяину" нужно вбивать длинющий пароль, а это минус в удобстве использования

5. Это да, но на какой срок? если 1 час - см.п. 4. если месяц - то и толку не будет

6. И что это дает? телефон у злоумышленника, смс у него же. Он получит новый, корректный пин. Даже ломать ничего не надо

7. Сомневаюсь, что подобные вещи используются (кроме, разве что, позиционирования. если запускаешь из другого города - да, надо перелогиниться. но если девайс упёрли и в течении часа, в той же локации пытатся все провернуть - проблем не будет)

Вопрос в том, можно ли реализовать всю эту систему средствами криптографии? Хотя, организационные меры тоже интересны, но ничего толкового я придумать не смог. Или мешаем пользователю жить, или надеемся, что он не дурак. И то и другое - плохо.

[xmoonlight]

Liudar, совокупность поведенческих факторов и всех пунктов, особенно п.2 - влияет на алгоритм работы программы.
А то, что Вы сомневаетесь - это зря: сегодня устройства позволяют собирать много информации в реальном времени для принятия решения по алгоритму работы своих приложений и этим нужно активно пользоваться.

Про NFC - это реальный вариант: NFC-метку в брелок на ключи и всё.
Метка - парольная "соль". Нет метки - нет запроса пин-кода, а перебирать - без соли все пины 10^4 - смысла никакого: это ничего не даст.