Menu

Dvě bezpečnostní chyby umožňují zneužití elektronické peněženky Google Wallet

wallet_ikona

Během jediného dne byly zveřejněny dvě bezpečnostní chyby související s elektronickou peněženkou Google Wallet. První se týká jen rootnutých zařízení, druhá pak úplně všech telefonů s NFC. Co mohou uživatelé udělat pro ochranu svých financí?

První útok: Zjištění PINu snadno a rychle

Joshua Rubin, vedoucí systémový inženýr společnosti Zvelo, zabývající se kromě jiného detekcí škodlivých webových stránek, objevil významnou chybu zabezpečení v aplikaci Google Wallet. S vlastní aplikací Wallet Cracker je schopen za použití brute-force útoku odhalit čtyřmístný PIN, který zabezpečuje přístup do platebního systému. Tento PIN slouží jako další stupeň zabezpečení, který fyzické kreditní karty neposkytují. Jedná se tedy o poměrně vážnou zranitelnost, jež se ale týká pouze rootnutých Androidů.

Rubin na blogu vysvětluje, že prolomení PINu, skládajícího se ze čtyř číslic, hrubou silou vyžaduje pouze maximálně 10 000 pokusů, což je, s ohledem na výpočetní výkon dnešních chytrých telefonů, doslova triviální záležitost. S aplikací Wallet Cracker může uživatel odhalit PIN během několika sekund, přičemž této snaze nezabrání ani limit pěti pokusů zadání neplatného PINu.

Zvelo hned po objevení této bezpečnostní trhliny informovalo vývojový tým Google Wallet, který “si je vědom situace a pracuje na opravě této chyby.” V tuto chvílí ale není jasné, kdy bude vydána aktualizace.

Názornou ukázku bezpečnostní chyby můžete zhlédnout na následujícím videu:

Google vydal prohlášení, ve kterém uvedl: “Studie byla provedena jejich vlastním telefonu, na kterém byly zakázány bezpečnostní mechanismy chránící Google Wallet. K dnešnímu dni neexistuje žádná známá chyba, která umožňuje, aby někdo získal přístup roota při zachování veškerých informací Google Wallet. Důrazně doporučujeme, aby uživatelé neinstalovali Google Wallet na zařízení s rootem a vždy měli nastavený zámek obrazovky jako další vrstvu zabezpečení.”

Druhý útok: Stačí vymazat data aplikace Google Wallet

Vzápětí se objevila informace TheSmartphoneChamp, podle které je velmi snadné získat přístup k předplacené kartě Google Wallet i na telefonech bez rootu a bez specializované aplikace. Nejprve je nutné v Nastavení-Aplikace-Google Wallet smazat data. Po opětovném otevření se aplikace Google Wallet chová, jako by byla spouštěna poprvé. Uživatel je požádán o zadání nového PINu, pak stačí přidat Google Prepaid Card, a bez jakékoli další autorizace tak získat přístup k předplacené kartě spojené s účtem majitele telefonu. Více než další řádky napoví následující video.

V případě odcizení telefonu se tak zloděj může dostat k penězům na předplacené kartě, aniž by musel znát PIN.

Co tedy mohou uživatelé udělat pro ochranu svých financí?

  1. Neprovádět root telefonu.
  2. Povolit zámek obrazovky – je míněno jako zabezpečení před fyzickým přístupem k systému, tedy zabezpečení PINem, heslem, použití “face unlock,” apod.
  3. Zakázat ladění USB.
  4. Aktivovat šifrování dat.
  5. Instalovat všechny systémové aktualizace a updaty fimrware.

Nic ale není tak horké, jak se to uvaří – mějme na paměti, že Google Wallet není ještě běžně k dispozici a technicky je dostupný pouze na jednom telefonu u jednoho operátora.

Zdroje: tisková zpráva Zvelo, blog Zvelo, Android and Me, NeoWin, The NextWeb, AndroidGuys, SmartPhone Champ a Android Central.

Komentáře

Libb76

Libb76

10.2.2012 8:37

Uff, no tak u té první metody bych přimhouřil oči s tím, že kdo dělá root, by si měl být podobných rizik vědom, ale ta druhá metoda je na pár facek :(
Akorát, pokud jsem to dobře pochopil, to není přístup přímo k platební kartě, registrované na Googlu, ale “jen” k nějakému předplacenému účtu?

xxx

xxx

10.2.2012 8:52

Jako prozatím nejúčinnější radu na ochranu financí bych viděl nepoužívání Google Wallet. Druhá chyba je totiž opravdu na facku.

Charla

Charla

10.2.2012 9:54

Osobně nechápu proč se Google peněženka chová jak se chová. Když jsem nakupoval na Android Marketu zadal jsem pochopitelně číslo karty a další údaje. Ty si google uloží, fajn PayPal je má taky uloženy. Pro pohodlný přístup ke kalendáři, mailu a dalším věcem zůstávám přihlášený, což ale podle Googlu znamená, že může přijít kdokoliv k mému PC vlézt na shop, který podporuje platbu přes peněženku a jednoduše kliknout na koupit…. a je to! To by bylo tak těžké udělat podmínku “před platbou je nutno zadat ověřovací kód z SMS” “je nutno se znovu přihlásit” nebo něco takového? Řešením je se pokaždé odhlásit, ale to není moc elegantní řešení…. Stačil by před potvrzením platby dialog “zadejte vámi zvolený pin” Ale to je pro Google asi moc složité. Nebo se v USA asi nekrade….

ic

ic

10.2.2012 10:51

Zajímalo by mě, jestli by v takovém případě pomohl Superuser Elite, který chrání přidělení root privilegií heslem.

xxx

xxx

10.2.2012 11:29

ic: Jen v několika specifických případech. Typickou škodlivou aplikaci využívající slabinu s rootovskými právy bych viděl jako trojského koně – užitečně se tvářící aplikace vyžadující rootovská práva. Bude sázet na hloupost/naivitu/neinformovanost uživatele, který ji ty práva dá.

neandroid

neandroid

10.2.2012 12:56

Android je jediný skutečně OTEVŘENÝ systém :)

Jojo

Jojo

10.2.2012 15:09

Ono najvecsi pruser je v tom, ze zlodej ktory ukradne telefon si moze wallet do telefonu nainstalovat sam. A pokial mate telefon spojeny s vasim jedinym a oficialnym google kontom od ktoreho zavisi vase podnikanie, tak je to hold megapruser.
Takze rychlo instalovat nejaku aplikacou na remote wipe :)

neandroid

neandroid

10.2.2012 15:25

Jojo: to je další průšvih, že remote wipe Android nemá.

Jojo

Jojo

10.2.2012 16:49

Ale ma:
http://support.google.com/a/bin/answer.py?hl=en&answer=173390
alebo napr. aplikacia Lookout premium ma remote wipe aj lock.
Je platena, ale znamena to ze to android ma a urcite sa najdu aj free aplikacie.

David

David

10.2.2012 17:04

Android samozrejme remote wipe ma. Mnoho programu umi sledovat a vymazat telefon na dalku (Cerberus, antiviraky). U sebe to resim tak, ze citlive aplikace se spusti jen po zadani pinu (ochrana se neda odinstalovat, i odinstalace jakekoliv aplikace nebo nakupovani aplikaci je chranene pinem), v pripade ztraty smazu data Cerberusem. Pokud zlodej provede wipe, je mi to uplne jedno, protoze pak stejne nema pristup k memu uctu.

Igoreso

Igoreso

10.2.2012 20:57

Nemáte typ na aplikaci Zdarma?
Zatím používám jen Pin v Marketu a nic jiného..
Nerad bych při krádeži telefonu přišl o data a peníze..

Marsec

Marsec

11.2.2012 9:43

Používám Mcafee wavesecure a myslím, že to co od tohoto typu programu čekám umi…

Karelk

Karel Kiliánexternista -1

13.2.2012 9:51

To: Igoreso
Dobrý den,

já používám Android Lost, který toho umí opravdu hodně, včetně případného smazání obsahu telefonu – viz recenze https://www.svetandroida.cz/android-lost-kdyz-ztratite-telefon-201108

RSS (komentáře k článku)