Re: Téléphone HS - 2FA perdu - Compte Kraken inaccessible

Quote from: asche on March 28, 2020, 06:55:22 PM

Quote from: Saint-loup on March 28, 2020, 06:44:12 PM

Oui c'est tres choquant mais apparement les seeds sont stockées en clair(!).
Il suffit d'aller dans ce repertoire si le tel est rooté /data/data/com.google.android.apps.authenticator2/databases/databases avec un db explorer.

Je ne vois pas tellement en quoi c'est choquant. Dans la mesure où tu n'as pas de mdp à l'accès à l'application celle-ci peut difficilement se permettre de crypter ça comme elle l'entend.

Ensuite comme tu le dis bien il faut que le téléphone soit rooté pour ce faire. Et j'imagine qu'il faut des accès privilégiés pour y accéder. Donc rien d'anormal jusqu'ici.

Ce n'est tout simplement pas ce que prévoit la norme Undecided

We also RECOMMEND storing the keys securely in the validation system, and, more specifically, encrypting them using tamper-resistant hardware encryption and exposing them only when required: for example, the key is decrypted when needed to verify an OTP value, and re-encrypted immediately to limit exposure in the RAM to a short period of time.
https://tools.ietf.org/html/rfc6238