Google Wallet má problém, PIN je možné hacknout i obejít

Karel Michal , 13. únor 2012 10:02 0 komentářů

Společnost Google se pyšní poměrně náročným výběrem svých zaměstnanců a přímo ukázkovým portfoliem programátorů, jak ale vidno, i mistr tesař se někdy utne.

Technologii pro bezkontaktní NFC platby prostřednictvím Android telefonů lze hacknout a dokonce obejít. Pokud má útočník dočasný přístup k telefonu, může tak snadno získat přístup k platebním kartám majitele.

První chyba byla objevena v prosinci loňského roku, druhá minulý týden. V případě první chyby (obejití PINu) Google riziko bagatelizoval, po objevu druhé své stanovisko k oběma problémům korigoval.

Riziko druhé chyby do značné míry souvisí s chováním uživatele, respektive s tím v jakém uživatelském módu pracuje. Společnost Zvelo, která na chybu upozornila, totiž dokázala zneužití předvést pouze na tzv. „rootnutých“ telefonech, tedy na přístrojích s přihlášeným superuživatelem, resp. uživatelem a aplikacemi, jež mohou využívat rootovská práva.

Samotný PIN peněženky totiž je v telefonech uložený pouze v podobě obyčejné hashe (SHA-256) v SQLite databázi a ta je pochopitelně s právy superuživatele volně k nahlédnutí. Podle Google je rootnutí telefonu po instalaci peněženky tak, aby se nevymazala uživatelská data obtížné, ale nikoli nemožné (ostatně jsme na SSD úložišti).

Druhá, starší chyba, počítá s tím, že útočník běžným způsobem vymaže nastavení telefonu pro danou aplikaci, po restartu aplikace je mu pak umožněno nastavit nový PIN. Při vymazání sice dojde k odstranění informací o použitých kartách, ale při následném vytvoření nové virtuální debetní karty od Google se tato karta automaticky přiřadí původnímu majiteli aplikace (telefonu) a čerpá z jeho reálných účtů. Google v reakci na první chybu, která sebou přinesla medializaci i tohoto staršího problému, o víkendu oznámil, že až do odvolání ruší možnost vytvářet nové virtuální platební karty a problém údajně řeší.


Komentáře

RSS 

Komentujeme

Makroviry inspirují

Pavel Houser , 20. září 2017 06:30
Pavel Houser

Úspěšný návrat malwaru šířeného pomocí maker vedl útočníky k tomu, že svou pozornost obrátili k příb...

Více






Kalendář

25. 09.

29. 09.
Susecon 17
25. 09.

29. 09.
Microsoft Ignite 2017
26. 09.

26. 08.
Affiliate konferencia 2017
RSS 

Zprávičky

Nové verze Javy: Java SE 9 a Java EE 8

Pavel Houser , 22. září 2017 14:51

Oracle oznamuje všeobecnou dostupnost nových verzí platformy Java: Java SE 9 (JDK 9), Java Platform ...

Více 0 komentářů

Baidu investuje do vývoje autonomního řízení

ČTK , 22. září 2017 13:00

Cílem projektu Apollo je vyvinout technologii pro samořízené automobily do roku 2020....

Více 0 komentářů

Kaprain koupil kabelovou Rio Media

ČTK , 22. září 2017 09:00

Spojením Nej.cz a Rio Media vznikne druhý největší poskytovatel kabelové televize a významný poskyto...

Více 0 komentářů

Starší zprávičky

Apple přiznává: Nové hodinky mají problémy s připojením

ČTK , 22. září 2017 08:00

Problémy s konektivitou mají hodinky v okamžiku, kdy mají použít veřejnou wi-fi síť....

Více 0 komentářů

Spíše než nové zákony k Airbnb je třeba zlepšit výběr daní

ČTK , 21. září 2017 13:00

Airbnb se svými službami v Praze už vyrovnala objemu obchodu klasických ubytovacích zařízení....

Více 0 komentářů

Potvrzeno: Google opravdu kupuje část HTC

ČTK , 21. září 2017 11:25

Dnes je HTC v žebříčku světových prodejů smartphonů na necelém procentu. Někteří analytici proto pří...

Více 0 komentářů

Oracle představil novou cenovou politiku pro cloud

Pavel Houser , 21. září 2017 09:52

Až dosud se při přechodu na cloud PaaS nedaly využít dosavadní investice do licencí softwaru v režim...

Více 0 komentářů