Google Wallet má problém, PIN je možné hacknout i obejít

Karel Michal , 13. únor 2012 10:02 0 komentářů

Společnost Google se pyšní poměrně náročným výběrem svých zaměstnanců a přímo ukázkovým portfoliem programátorů, jak ale vidno, i mistr tesař se někdy utne.

Technologii pro bezkontaktní NFC platby prostřednictvím Android telefonů lze hacknout a dokonce obejít. Pokud má útočník dočasný přístup k telefonu, může tak snadno získat přístup k platebním kartám majitele.

První chyba byla objevena v prosinci loňského roku, druhá minulý týden. V případě první chyby (obejití PINu) Google riziko bagatelizoval, po objevu druhé své stanovisko k oběma problémům korigoval.

Riziko druhé chyby do značné míry souvisí s chováním uživatele, respektive s tím v jakém uživatelském módu pracuje. Společnost Zvelo, která na chybu upozornila, totiž dokázala zneužití předvést pouze na tzv. „rootnutých“ telefonech, tedy na přístrojích s přihlášeným superuživatelem, resp. uživatelem a aplikacemi, jež mohou využívat rootovská práva.

Samotný PIN peněženky totiž je v telefonech uložený pouze v podobě obyčejné hashe (SHA-256) v SQLite databázi a ta je pochopitelně s právy superuživatele volně k nahlédnutí. Podle Google je rootnutí telefonu po instalaci peněženky tak, aby se nevymazala uživatelská data obtížné, ale nikoli nemožné (ostatně jsme na SSD úložišti).

Druhá, starší chyba, počítá s tím, že útočník běžným způsobem vymaže nastavení telefonu pro danou aplikaci, po restartu aplikace je mu pak umožněno nastavit nový PIN. Při vymazání sice dojde k odstranění informací o použitých kartách, ale při následném vytvoření nové virtuální debetní karty od Google se tato karta automaticky přiřadí původnímu majiteli aplikace (telefonu) a čerpá z jeho reálných účtů. Google v reakci na první chybu, která sebou přinesla medializaci i tohoto staršího problému, o víkendu oznámil, že až do odvolání ruší možnost vytvářet nové virtuální platební karty a problém údajně řeší.


Komentáře

RSS 

Komentujeme

Agilita a devops, přepracování a vyhoření

Pavel Houser , 12. červenec 2018 12:30
Pavel Houser

Michael Cote na The Register upozorňuje na častý problém: nové „agilní“ metody vývoje, všechny příst...

Více







RSS 

Zprávičky

50 let Intelu

ČTK , 16. červenec 2018 09:06

Intel nejprve produkoval paměti typu RAM, ale na počátku sedmdesátých let se firma rozhodla rozšířit...

Více 0 komentářů

USA zrušily zákaz dodávek amerického zboží čínské ZTE

ČTK , 14. červenec 2018 08:00

Firma již v rámci urovnání sporu s americkou vládou souhlasila, že zaplatí pokutu miliardy dolarů....

Více 0 komentářů

Trh PC ve 2. čtvrtletí rostl, tvrdí Gartner i IDC

ČTK , 13. červenec 2018 16:35

Růst odbytu táhla zejména poptávka firemního segmentu podpořená operačním systémem Windows 10....

Více 0 komentářů

Kalendář

04. 08.

09. 08.
Black Hat USA 2018
09. 08.

12. 08.
DEF CON 26
06. 09.

07. 09.
Humusoft Technical Computing Camp 2018

Starší zprávičky

Polovina kryptoměnových firem zanikne během čtyř měsíců od ICO

ČTK , 13. červenec 2018 10:09

Nejlepší strategií je prý mince v primární nabídce koupit a hned první den obchodů na otevřeném trhu...

Více 0 komentářů

Americká vláda se odvolává proti fúzi AT&T a Time Warner

ČTK , 13. červenec 2018 10:07

Ministerstvo se odvolalo proti červnovému rozhodnutí soudu, který spojení posvětil přes dřívější nám...

Více 0 komentářů

Německý soud: Rodiče mají mít přístup k facebooku mrtvé dcery

ČTK , 13. červenec 2018 09:00

Facebook nechtěl obsah účtu dívky otevřít, protože i její přátelé údajně spoléhali na to, že jejich ...

Více 0 komentářů

Broadcom koupí za 18,9 miliard dolarů CA Technologies

ČTK , 12. červenec 2018 13:01

Akvizice jsou důležité pro expanzi Broadcomu. Výběr firmy CA je však pro analytiky překvapením....

Více 0 komentářů