Google Wallet má problém, PIN je možné hacknout i obejít

Karel Michal , 13. únor 2012 10:02 0 komentářů

Společnost Google se pyšní poměrně náročným výběrem svých zaměstnanců a přímo ukázkovým portfoliem programátorů, jak ale vidno, i mistr tesař se někdy utne.

Technologii pro bezkontaktní NFC platby prostřednictvím Android telefonů lze hacknout a dokonce obejít. Pokud má útočník dočasný přístup k telefonu, může tak snadno získat přístup k platebním kartám majitele.

První chyba byla objevena v prosinci loňského roku, druhá minulý týden. V případě první chyby (obejití PINu) Google riziko bagatelizoval, po objevu druhé své stanovisko k oběma problémům korigoval.

Riziko druhé chyby do značné míry souvisí s chováním uživatele, respektive s tím v jakém uživatelském módu pracuje. Společnost Zvelo, která na chybu upozornila, totiž dokázala zneužití předvést pouze na tzv. „rootnutých“ telefonech, tedy na přístrojích s přihlášeným superuživatelem, resp. uživatelem a aplikacemi, jež mohou využívat rootovská práva.

Samotný PIN peněženky totiž je v telefonech uložený pouze v podobě obyčejné hashe (SHA-256) v SQLite databázi a ta je pochopitelně s právy superuživatele volně k nahlédnutí. Podle Google je rootnutí telefonu po instalaci peněženky tak, aby se nevymazala uživatelská data obtížné, ale nikoli nemožné (ostatně jsme na SSD úložišti).

Druhá, starší chyba, počítá s tím, že útočník běžným způsobem vymaže nastavení telefonu pro danou aplikaci, po restartu aplikace je mu pak umožněno nastavit nový PIN. Při vymazání sice dojde k odstranění informací o použitých kartách, ale při následném vytvoření nové virtuální debetní karty od Google se tato karta automaticky přiřadí původnímu majiteli aplikace (telefonu) a čerpá z jeho reálných účtů. Google v reakci na první chybu, která sebou přinesla medializaci i tohoto staršího problému, o víkendu oznámil, že až do odvolání ruší možnost vytvářet nové virtuální platební karty a problém údajně řeší.


Komentáře

RSS 

Komentujeme

Virtuální realitou proti strachu ze smrti

Pavel Houser , 18. červenec 2017 07:00
Pavel Houser

Lidé, kteří reportují „zážitky blízké smrti“, pak mnohdy mají ze smrti menší strach. Nedalo by se to...

Více






Kalendář

22. 07.

27. 07.
Black Hat 2017
27. 07.

30. 07.
Defcon 2017
27. 08.

31. 08.
VMworld 2017
RSS 

Zprávičky

China Unicom má slíbeno od investorů 12 miliard dolarů

ČTK , 23. červenec 2017 10:14

Připravovaná investice je součástí snahy čínské vlády oživit státní giganty soukromým kapitálem. ...

Více 0 komentářů

Čína chce být do 2025 světovým lídrem v oblasti umělé inteligence

ČTK , 22. červenec 2017 09:00

Plán přichází v době, kdy USA chtějí více kontrolovat investice, včetně investic do umělé inteligenc...

Více 0 komentářů

Santa Fe se chystá na premiéru opery o Jobsovi

ČTK , 22. červenec 2017 08:00

Spád opery je stejně rychlý a dynamický jako technologie, které Jobs vytvořil, tvrdí autoři....

Více 0 komentářů

Starší zprávičky

Policejní úřady USA a EU zakročily proti ilegálním serverům

ČTK , 21. červenec 2017 10:00

Kromě AlphaBay se zásah týkal také ilegálního tržiště darknetu Hansa....

Více 1 komentářů

Poskytovatelé IT služeb budou mít brzy problém uspokojit poptávku

Pavel Houser , 21. červenec 2017 09:00

Poskytovatelé řízených IT služeb (MSP – managed service providers) vidí ve službě cybersecurity-as-a...

Více 1 komentářů

Amazon spustil nákupní sociální síť Spark pro chytré telefony

ČTK , 21. červenec 2017 08:00

Jedná se de facto o křížence Instagramu, Pinterestu a e-shopu....

Více 0 komentářů

V Praze se instalují první chytré lavičky připojené přes síť LoRa

Pavel Houser , 20. červenec 2017 13:28

Lavička TreeSmart nabízí wi-fi připojení, nabíjení mobilních zařízení a senzory snímající vlhkost, t...

Více 3 komentářů