Google Wallet má problém, PIN je možné hacknout i obejít

Karel Michal , 13. únor 2012 10:02 0 komentářů

Společnost Google se pyšní poměrně náročným výběrem svých zaměstnanců a přímo ukázkovým portfoliem programátorů, jak ale vidno, i mistr tesař se někdy utne.

Technologii pro bezkontaktní NFC platby prostřednictvím Android telefonů lze hacknout a dokonce obejít. Pokud má útočník dočasný přístup k telefonu, může tak snadno získat přístup k platebním kartám majitele.

První chyba byla objevena v prosinci loňského roku, druhá minulý týden. V případě první chyby (obejití PINu) Google riziko bagatelizoval, po objevu druhé své stanovisko k oběma problémům korigoval.

Riziko druhé chyby do značné míry souvisí s chováním uživatele, respektive s tím v jakém uživatelském módu pracuje. Společnost Zvelo, která na chybu upozornila, totiž dokázala zneužití předvést pouze na tzv. „rootnutých“ telefonech, tedy na přístrojích s přihlášeným superuživatelem, resp. uživatelem a aplikacemi, jež mohou využívat rootovská práva.

Samotný PIN peněženky totiž je v telefonech uložený pouze v podobě obyčejné hashe (SHA-256) v SQLite databázi a ta je pochopitelně s právy superuživatele volně k nahlédnutí. Podle Google je rootnutí telefonu po instalaci peněženky tak, aby se nevymazala uživatelská data obtížné, ale nikoli nemožné (ostatně jsme na SSD úložišti).

Druhá, starší chyba, počítá s tím, že útočník běžným způsobem vymaže nastavení telefonu pro danou aplikaci, po restartu aplikace je mu pak umožněno nastavit nový PIN. Při vymazání sice dojde k odstranění informací o použitých kartách, ale při následném vytvoření nové virtuální debetní karty od Google se tato karta automaticky přiřadí původnímu majiteli aplikace (telefonu) a čerpá z jeho reálných účtů. Google v reakci na první chybu, která sebou přinesla medializaci i tohoto staršího problému, o víkendu oznámil, že až do odvolání ruší možnost vytvářet nové virtuální platební karty a problém údajně řeší.


Komentáře

RSS 

Komentujeme

AI i její tvůrci před soudem

Pavel Houser , 22. duben 2018 09:30
Pavel Houser

John Kingston z anglické University of Brighton poskytl pro The Register svůj pohled na právní odpov...

Více







RSS 

Zprávičky

Poskytování IT služeb mění podnikání Konica Minolta

Pavel Houser , 24. duben 2018 10:37

Prudký nárůst tržeb v segmentu IT služeb vedl společnost Konica Minolta ke změně přímého prodeje. ...

Více 0 komentářů

Čtvrtletní zisk Googlu výrazně překonal očekávání

ČTK , 24. duben 2018 08:48

Tržby firmy Alphabet se meziročně zvýšily o 26 procent na 31,1 miliardy dolarů....

Více 0 komentářů

EK zkoumá, zda nechá Apple převzít Shazam

ČTK , 24. duben 2018 08:00

Apple by za aplikaci mohl zaplatit asi 400 milionů dolarů....

Více 0 komentářů

Starší zprávičky

Čínská služba pro streamování hudby Tencent míří na burzu

ČTK , 23. duben 2018 11:19

Spotify byla nedávno ohodnocena na 30 miliard dolarů. 25 miliard očekávaných u Tencentu je také obro...

Více 0 komentářů

Obchod s kryptoměnami se stěhuje mimo burzy

ČTK , 23. duben 2018 09:00

Objem obchodování s kryptoměnami je oproti konci roku poloviční....

Více 0 komentářů

Čtvrtina Čechů vyzkoušela služby sdílené ekonomiky

ČTK , 23. duben 2018 08:00

Více než polovina lidí zná služby Zonky (74 procent) a Uber (62 procent)....

Více 0 komentářů

Před 25 lety byl zpřístupněn webový prohlížeč Mosaic

ČTK , 21. duben 2018 15:22

Mosaic se zrodil v průběhu roku 1992 v hlavě Marca Andreessena a jeho kolegy Erica Biny....

Více 0 komentářů