4.2 Обход аутентификации путем изучения новых биометрических данных.

В Android и iOS есть возможность аутентификации пользователя с использованием биометрических данных, хранящихся в системе.

В MyApp для iOS и Android можно добавлять новые биометрические данные через системные настройки устройства, которые приложение принимает без повторного ввода банковского пароля. Это позволяет злоумышленнику, который знает код устройства, обойти банковский пароль, добавив свои биометрические характеристики к устройству и, таким образом, аутентифицируясь в приложении MyApp.

Угроза.

Злоумышленник, который знает код устройства, может обойти банковский пароль и впоследствии получить несанкционированный доступ к приложению.

Рекомендация:

Привязка биометрической аутентификации к хранилищу ключей или связке ключей; Отмена сохраненного пароля при обучении новым записям в биометрической базе данных

Ну как бы если добавить, будет KeyPermanentlyInvalidatedException :)

Хотя если, уже вошли, а потом добавили, хотя смысл...

больше ничего не написали )) сиди и гадай

Вот сидим :D

Ну короче это актуально если проверка вот такая:
https://developer.android.com/training/sign-in/biometric-auth#display-login-prompt

Но я не чекал, так как всегда через палец шифровал что-то, например рефреш токен =)

Спасибо, буду дальше ковыряться

Всем привет!

Positive Technologies открывает стажировку в ряд команд  направления Blue Team!
Задачи есть разные: начиная от написания YARA правил и анализа вредоносного ПО до расследования инцидентов, а также автоматизация различных задач мониторинга ИБ.
Занятость от 20 до 40 часов в неделю.
Есть возможность пройти стажировку удаленно.

Требования:
* Базовое понимание архитектуры ОС Windows
* Представление, как работает вредоносное ПО
* Знакомство с YARA/Sigma правилами


Резюме с пометкой "Стажировка в Blue Team" присылайте на amansurova@ptsecurity.com

Хорошего дня)

Мне кажется, такое надо с администратором согласовывать :)

Привет!
Извини, пожалуйста :(
Да, ты прав

просто  основывалась по опыту предыдущих лет/сообщений

@Mr_R1p Да ладно. Вроде не часто и релевантно =) Не биткойны же рекламируют =) Я бы может и сам на эту стажировку пошел, но я старый и меня не возьмут 😄

👌

Да я так, побрюзговать))

Прикольно работает новая функция телеги с анонимизацией администраторов

Ага) от имени канала так сурово получается

Привет! есть вопрос..
если сервер использует TLS... то будет ли резонно добавить шифрование входящих и исходящих данных как на стороне фронита, та и на бэке для сокрытия информации / усложнения поиска

Усложнения какого поиска?

в owasp top 10 mobile написано:
If possible, apply a separate layer of encryption to any sensitive data before it is given to the SSL channel. In the event that future vulnerabilities are discovered in the SSL implementation, the encrypted data will provide a secondary defense against confidentiality violation.