Salut!
Oui ça a été changé ya 2 semaines. La seed étant stocké dans le secure storage des appareils (que ce soit pour android, ios ou desktop), elle n’est accessible que par l’app bundle Ğecko. Un attaquant n’aura aucune surface d’attaque (sauf peut être en profilant la RAM pour une device rooté uniquement, et avec un accès au device pendant que la seed est déchiffré par gecko, ce qui me semble compliqué).
Voir ce sujet: Hack my cipher
Le code PIN n’est gardé ici que pour limiter l’accès aux compte via l’UI de Ğecko. Il pourra/devra être remplacé par l’auth système lorsque définit (schéma android, biometrie ect…) lorsque j’aurais le temps de déployer ça.
Auparavant, Gecko utilisant un code de 5 lettres aléatoire. L’entropie associé calculé faisait apparaître qu’il aura nécessité environ 10 jours de brute froce avec un bon PC de gamer pour récupérer la seed. Ce code était un gros frein UX à l’adoption de l’outil, et n’offrait pas de sécurité à la hauteur de la gêne occasionné.
L’API Flutter utilisé pour unifier l’accès aux différents type de secure storage en fonctionne des plateformes: flutter_secure_storage | Flutter package
C’est ce même package que nous utilisons pour le device binding d’une banque.