Aplikacja mobilna do oszukiwania napastników

Fraunhofer Institute for Secure Information Technology z Niemiec sprzedaje aplikację komórkową, która zapewnia unikatowe mechanizmy przechowywania haseł do różnych usług i aplikacji.

Aplikacja MobileSitter przechowuje hasła, PINy i TANy (Transaction Authentication Number), które są szyfrowane i udostępniane użytkownikowi po wprowadzeniu hasła nadrzędnego.

Zagrożenia związane z przechowywaniem haseł przez takie aplikacje polega na tym, że istnieją metody uzyskania hasła nadrzędnego przez napastnika. Może wykorzystać atak brute-force lub słownikowy, w których specjalny program generuje automatycznie różne kombinacje znaków w celu odgadnięcia hasła metodą prób i błędów. Niektóre aplikacje przechowujące hasła nie ograniczają liczby prób wprowadzenia niewłaściwego hasła.

Natomiast MobileSitter zawsze zwraca odpowiedź niezależnie od tego, czy wprowadzone hasło nadrzędne jest właściwe czy nie. Jeżeli zapamiętano np. PIN karty debetowej o wartości "5555", ale wprowadzone hasło nadrzędne jest niewłaściwe, aplikacja "odszyfruje" wartość tego PIN w oparciu o wprowadzone niewłaściwe hasło, podając np. "8901".

Formalna odpowiedź na każde wprowadzone hasło jest wydawana niezależnie czy jest ono prawdziwe czy fałszywe. W takiej sytuacji napastnik nie wie czy otrzymana wartość jest poprawna, dopóki nie spróbuje z niej skorzystać.

Autoryzowany użytkownik MobileSitter może także zdefiniować reguły określające formę zwracanej, odszyfrowanej informacji. Reguła taka może np. zwracać wyłącznie czterocyfrowy PIN po zażądaniu informacji niewłaściwym hasłem nadrzędnym, niezależnie od tego czy przechowywane hasło skład się z samych cyfr czy z dowolnych znaków.

Z kolei, gdy sam użytkownik wprowadzi niewłaściwe hasło, aplikacja wyświetli ikonę, którą użytkownik wybrał w czasie tworzenia swojego hasła nadrzędnego. Taka ikona informuje użytkownika o wprowadzeniu błędnego hasła, natomiast napastnik nie zna jej znaczenia.

Aplikacja jest kompatybilna z telefonami obsługującymi Java, dopuszczającymi dostęp do systemu plików w telefonie. Sprzedawana jest na witrynie Fraunhofer za 9,9 Euro. W tym roku ma pojawić się jej wersja dla iPhone, przygotowywana jest też na platformę Android.