Google Wallet má problém, PIN je možné hacknout i obejít

Karel Michal , 13. únor 2012 10:02 0 komentářů

Společnost Google se pyšní poměrně náročným výběrem svých zaměstnanců a přímo ukázkovým portfoliem programátorů, jak ale vidno, i mistr tesař se někdy utne.

Technologii pro bezkontaktní NFC platby prostřednictvím Android telefonů lze hacknout a dokonce obejít. Pokud má útočník dočasný přístup k telefonu, může tak snadno získat přístup k platebním kartám majitele.

První chyba byla objevena v prosinci loňského roku, druhá minulý týden. V případě první chyby (obejití PINu) Google riziko bagatelizoval, po objevu druhé své stanovisko k oběma problémům korigoval.

Riziko druhé chyby do značné míry souvisí s chováním uživatele, respektive s tím v jakém uživatelském módu pracuje. Společnost Zvelo, která na chybu upozornila, totiž dokázala zneužití předvést pouze na tzv. „rootnutých“ telefonech, tedy na přístrojích s přihlášeným superuživatelem, resp. uživatelem a aplikacemi, jež mohou využívat rootovská práva.

Samotný PIN peněženky totiž je v telefonech uložený pouze v podobě obyčejné hashe (SHA-256) v SQLite databázi a ta je pochopitelně s právy superuživatele volně k nahlédnutí. Podle Google je rootnutí telefonu po instalaci peněženky tak, aby se nevymazala uživatelská data obtížné, ale nikoli nemožné (ostatně jsme na SSD úložišti).

Druhá, starší chyba, počítá s tím, že útočník běžným způsobem vymaže nastavení telefonu pro danou aplikaci, po restartu aplikace je mu pak umožněno nastavit nový PIN. Při vymazání sice dojde k odstranění informací o použitých kartách, ale při následném vytvoření nové virtuální debetní karty od Google se tato karta automaticky přiřadí původnímu majiteli aplikace (telefonu) a čerpá z jeho reálných účtů. Google v reakci na první chybu, která sebou přinesla medializaci i tohoto staršího problému, o víkendu oznámil, že až do odvolání ruší možnost vytvářet nové virtuální platební karty a problém údajně řeší.


Komentáře

RSS 

Komentujeme

V datových centrech už nejde o Windows?

Pavel Houser , 22. březen 2017 12:47
Pavel Houser

Trevor Pott si na The Register pokládá otázku o budoucnosti serverových Windows na platformě ARM. ...

Více






RSS 

Zprávičky

ČTÚ vyhlásil aukci kmitočtů v pásmu 3,7 GHz

Pavel Houser , 27. březen 2017 14:27

Český telekomunikační úřad dnes vyhlásil aukci kmitočtů v pásmu 3600–3800 MHz pro vysokorychlostní d...

Více 1 komentářů

Většina nadnárodních společností kyberútoky nezvládá

Pavel Houser , 27. březen 2017 13:47

Téměř tři čtvrtiny organizací neumějí identifikovat a plně ochránit svá firemní aktiva a procesy. ...

Více 1 komentářů

Xopero vstupuje na český trh

Pavel Houser , 27. březen 2017 12:24

V souvislosti s otevřením lokálního zastoupení dochází také k rozšiřování stávající partnerské sítě....

Více 0 komentářů

Starší zprávičky

Twitter poprvé zvažuje předplatné pro některé uživatele

ČTK , 27. březen 2017 07:00

Provozovatel sociální sítě Twitter zvažuje, že nabídne profesionálům prémiovou verzi svého rozhraní ...

Více 0 komentářů

MPO do konce března vypíše výzvu na dotace pro rychlý internet

ČTK , 26. březen 2017 14:00

Ministerstvo průmyslu a obchodu by mělo do konce března vypsat první část výzvy k čerpání evropských...

Více 0 komentářů

YouTube dál ztrácí inzerenty kvůli obavám z kontroverzních videí

ČTK , 26. březen 2017 09:00

Internetový portál pro sdílení videí YouTube dál ztrácí inzerenty kvůli obavám, že jejich reklamy bu...

Více 0 komentářů

Čínská ZTE přiznala nelegální zasílání zboží z USA do Íránu

ČTK , 25. březen 2017 09:00

Čínský výrobce telekomunikačního zařízení ZTE Corp. přiznal před soudem v Texasu vinu, že nelegálně ...

Více 3 komentářů