Dvě bezpečnostní chyby umožňují zneužití elektronické peněženky Google Wallet

wallet_ikona

Během jediného dne byly zveřejněny dvě bezpečnostní chyby související s elektronickou peněženkou Google Wallet. První se týká jen rootnutých zařízení, druhá pak úplně všech telefonů s NFC. Co mohou uživatelé udělat pro ochranu svých financí?

První útok: Zjištění PINu snadno a rychle

Joshua Rubin, vedoucí systémový inženýr společnosti Zvelo, zabývající se kromě jiného detekcí škodlivých webových stránek, objevil významnou chybu zabezpečení v aplikaci Google Wallet. S vlastní aplikací Wallet Cracker je schopen za použití brute-force útoku odhalit čtyřmístný PIN, který zabezpečuje přístup do platebního systému. Tento PIN slouží jako další stupeň zabezpečení, který fyzické kreditní karty neposkytují. Jedná se tedy o poměrně vážnou zranitelnost, jež se ale týká pouze rootnutých Androidů.

Rubin na blogu vysvětluje, že prolomení PINu, skládajícího se ze čtyř číslic, hrubou silou vyžaduje pouze maximálně 10 000 pokusů, což je, s ohledem na výpočetní výkon dnešních chytrých telefonů, doslova triviální záležitost. S aplikací Wallet Cracker může uživatel odhalit PIN během několika sekund, přičemž této snaze nezabrání ani limit pěti pokusů zadání neplatného PINu.

Zvelo hned po objevení této bezpečnostní trhliny informovalo vývojový tým Google Wallet, který “si je vědom situace a pracuje na opravě této chyby.” V tuto chvílí ale není jasné, kdy bude vydána aktualizace.

Názornou ukázku bezpečnostní chyby můžete zhlédnout na následujícím videu:

Google Wallet Security: Demo of PIN Exposure Vulnerability

Google Wallet Security: Demo of PIN Exposure Vulnerability

Google vydal prohlášení, ve kterém uvedl: “Studie byla provedena jejich vlastním telefonu, na kterém byly zakázány bezpečnostní mechanismy chránící Google Wallet. K dnešnímu dni neexistuje žádná známá chyba, která umožňuje, aby někdo získal přístup roota při zachování veškerých informací Google Wallet. Důrazně doporučujeme, aby uživatelé neinstalovali Google Wallet na zařízení s rootem a vždy měli nastavený zámek obrazovky jako další vrstvu zabezpečení.”

Druhý útok: Stačí vymazat data aplikace Google Wallet

Vzápětí se objevila informace TheSmartphoneChamp, podle které je velmi snadné získat přístup k předplacené kartě Google Wallet i na telefonech bez rootu a bez specializované aplikace. Nejprve je nutné v Nastavení-Aplikace-Google Wallet smazat data. Po opětovném otevření se aplikace Google Wallet chová, jako by byla spouštěna poprvé. Uživatel je požádán o zadání nového PINu, pak stačí přidat Google Prepaid Card, a bez jakékoli další autorizace tak získat přístup k předplacené kartě spojené s účtem majitele telefonu. Více než další řádky napoví následující video.

Google Wallet Security Vulnerability Demonstrated

Google Wallet Security Vulnerability Demonstrated

V případě odcizení telefonu se tak zloděj může dostat k penězům na předplacené kartě, aniž by musel znát PIN.

Co tedy mohou uživatelé udělat pro ochranu svých financí?

  1. Neprovádět root telefonu.
  2. Povolit zámek obrazovky – je míněno jako zabezpečení před fyzickým přístupem k systému, tedy zabezpečení PINem, heslem, použití “face unlock,” apod.
  3. Zakázat ladění USB.
  4. Aktivovat šifrování dat.
  5. Instalovat všechny systémové aktualizace a updaty fimrware.

Nic ale není tak horké, jak se to uvaří – mějme na paměti, že Google Wallet není ještě běžně k dispozici a technicky je dostupný pouze na jednom telefonu u jednoho operátora.

Zdroje: tisková zpráva Zvelo, blog Zvelo, Android and Me, NeoWin, The NextWeb, AndroidGuys, SmartPhone Champ a Android Central.

Karel Kilián
O Autorovi - Karel Kilián

S překonanou čtyřicítkou je s náskokem nejstarším členem redakce :-). Před několika lety hypoteticky vymyslel operační systém svých snů, aby následně zjistil, že přesně na… více o autorovi

Mohlo by vás zajímat

Komentáře (13)