Billon czyli kilka słów o standardach jakości i bezpieczeństwa aplikacji mobilnych

dodał 9 grudnia 2017 o 13:28 w kategorii Mobilne  z tagami:
Billon czyli kilka słów o standardach jakości i bezpieczeństwa aplikacji mobilnych

Kiedy ostatnio sprawdzaliśmy, ciągle mieliśmy XXI wiek, dojrzałe standardy bezpieczeństwa w sektorze finansowym, doświadczonych twórców aplikacji, testy i audyty bezpieczeństwa. Najwyraźniej jednak nie wszędzie.

Pamiętacie Tomka Zielińskiego, który rok temu opublikował bardzo ciekawy raport na temat bezpieczeństwa aplikacji mobilnych polskich banków? Wgryzł się wtedy solidnie w kilkanaście aplikacji i znalazł w nich czasem bardzo ciekawe kwiatki. Tym razem wzrok Tomka spoczął na aplikacji polskiego startupu o nazwie Billon – a to oznacza, że będzie trochę strasznie, trochę śmiesznie, a na pewno ciekawie.

Co to takiego

Billon to, jak sami opisują jego twórcy:

zupełnie nowy sposób na operowanie pieniędzmi w internecie. Dzięki niemu możesz przesyłać i odbierać pieniądze w czasie rzeczywistym, gdzie i kiedy zechcesz!

A także, na innej stronie Billona (bo jest ich sporo):

Billon zmienia technologiczne podstawy funkcjonowania pieniędzy i sposobu, w jaki krążą po świecie. Stworzyliśmy rewolucyjny system natychmiastowych płatności oparty na rozproszonej księdze głównej. Nasza technologia wspiera waluty narodowe, jest zgodna z regulacjami finansowymi i znosi bariery czasu i odległości. To technologia, która zaspokaja ludzkie potrzeby w epoce cyfrowej.

Za Billonem stoją sławy polskiego biznesu i finansów, a także miliony złotych finansowania (w tym z kieszeni podatników). Jak zauważył Tomek, w jednym z materiałów prasowych można też wyczytać, że:

technologia jest naprawdę bezpieczna. Nie do złamania. […] koszt shakowania czegokolwiek w Billonie jest tak gigantyczny, że nikomu by się to nie opłacało.

Tomek najwyraźniej nie zwraca jednak uwagi na opłacalność swoich badań, bo zabrał się do analizy. Gorąco polecamy lekturę oryginalnego tekstu Tomka oraz odpowiedzi twórców aplikacji na jego pytania.

Co znalazł Tomek

Aby zachęcić Was do lektury całości wstępnego raportu Tomka, poniżej kilka z jego znalezisk dotyczących aplikacji Billon i jej funkcjonowania:

  • z nieujawnionego powodu twórcy porzucili pierwszą wersję aplikacji w sklepie Androida i uruchomili nową, wymuszając na klientach migrację zamiast zwykłej aktualizacji,
  • aplikacja korzysta zarówno z protokołu UDP jak i niestandardowych portów, powodując, że z wielu miejscach jej ruch może być blokowany,
  • aplikacja zrzuca do logów mnóstwo komunikatów pozostałych z wersji deweloperskiej, łącznie z uwagami typu „TODO”,
  • część komunikacji transakcyjnej odbywa się gołym HTTP,
  • na urządzeniu Tomka pojawiły się znienacka dane innego użytkownika Billona (adres email oraz hash hasła),
  • w aplikacji jest wiele śladów funkcji, które zostały wycofane lub nigdy się nie pojawiły,
  • w aplikacji pozostawiono funkcje deweloperskie,
  • proces odzyskiwania hasła obejmuje dwa sekrety – ciągi znaków, przychodzące w dwóch osobnych emailach na to samo konto,
  • dane aplikacji szyfrowane są statycznym, symetrycznym kluczem zaszytym w kodzie,
  • aplikacja rzekomo ma certyfikaty „placówek naukowych specjalizujących się w dziedzinie kryptografii”, lecz jej twórcy odmawiają ich pokazania.

Reakcja producenta

Tomek wysłał do firmy stojącej za Billonem wiele pytań – i otrzymał na nie odpowiedzi, które przedstawił w drugiej części artykułu. Wobec dociekliwości Tomka twórcy nieco zmienili retorykę i platforma z jednej strony opisywana jako wiele lat do przodu względem blockchaina, na którym bazuje bitcoin oraz nie do złamania, okazała się być

wdrożeniem pilotażowym, którego zadanie stanowi weryfikacja technologii oraz weryfikacja business planów i przypadków użycia.

Na koniec zacytujemy jeszcze Tomka, który bardzo był zainteresowany brakiem możliwości „shakowania” (tak, wiemy, że pisze się „zhakowania”, cytujemy oryginał) blockchaina:

Twórcy utrzymują, że użycie blockchaina czyni ich rozwiązanie tak odpornym, że koszty jego naruszenia byłyby gigantyczne. Jest to zapewne prawda, gdy mówimy o sfałszowaniu cyfrowych podpisów składanych pod transakcjami albo plikami z elektronicznym pieniądzem. Skoro jednak w Billonie istnieje funkcja resetu hasła a po resecie hasła mamy dostęp do pieniędzy zgromadzonych w sejfie, spenetrowanie infrastruktury backendowej Billona może się zakończyć opróżnieniem sejfów wszystkich użytkowników.

Tomkowi gratulujemy wnikliwości, Billonowi życzymy sukcesu i szybkiego poprawienia błędów i niedociągnięć, które nie przystoją dzisiaj żadnej aplikacji, o finansowej nie wspominając.

Aktualizacja 2017-12-12

Otrzymaliśmy właśnie informację od Billona, którą zamieszczamy poniżej:

Dzień dobry,

W odpowiedzi na artykuł „Billon, czyli kilka słów o standardach jakości i bezpieczeństwa aplikacji mobilnych” (https://zaufanatrzeciastrona.pl/post/billon-czyli-kilka-slow-o-standardach-jakosci-i-bezpieczenstwa-aplikacji-mobilnych/) chciałbym podziękować za udostępnienie wnikliwej analizy naszej technologii. Poniżej przesyłamy kilka ważnych informacji uzupełniających artykuł:

  • Wdrożenie aplikacji Billon jest w fazie pilotażu, który ma na celu przetestowanie samego modelu biznesowego. Dowodzi tego wąska sieć akceptacji, ograniczona do jednego sektora rynku – youtuberów, merchantów, streamerów oraz wybranych klientów korporacyjnych. Jesteśmy w trakcie wdrażania nowej strategii komunikacyjnej firmy, która podkreśli powyższy fakt.
  • Jesteśmy świadomi wymienionych w materiale błędów. Niezależnie od artykułu przeprowadzony został audyt bezpieczeństwa, którego autorem była firma SecuRing. Raport z audytu opisuje błędy wpływające na bezpieczeństwo systemu, także te wymienione w artykule.
  • Pragniemy podkreślić, że żadna przedstawiona luka nie jest krytyczna i nie naraża użytkownika na niebezpieczeństwo utraty środków.
  • W wyniku przeprowadzonego audytu jeszcze w tym roku planujemy aktualizację aplikacji, która wyeliminuje dostrzeżone błędy, także te wspomniane w Państwa artykule.

Lokowanie produktu

Jak widać audyt aplikacji mobilnej warto zlecić Tomkowi, jeśli z kolei chcecie, by błędów, które znajdzie Tomek, było mniej, wyślijcie swoich deweloperów na nasze szkolenie z bezpieczeństwa aplikacji mobilnych – w marcu 2018 w Warszawie.

Bezpieczeństwo aplikacji mobilnych - atak i obrona

Warsaw-center-free-license-CC0
Warszawa, 26 – 27 marca 2018

Czas trwania: 2 dni (15h), Prowadzący: Adam z z3s, Mateusz Kocielski
Liczba uczestników: maksymalnie 12 osób, cena: 2600 PLN netto

Szczegółowy opis szkolenia