Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

Czy złamanie PIN-u w Google Wallet oznacza koniec dla tej usługi?

Tim Armstrong
Kaspersky Lab Expert
Dodany 16 lutego 2012, 11:41 CET

W zeszłym tygodniu znaleziono luki w zabezpieczeniach systemu płatności Google Wallet. Pierwsza z nich została wykryta przez Zvelo i wymaga uzyskania dostępu na poziomie root. Obecnie nie stanowi to żadnego problemu, ponieważ dla większości platform istnieją aplikacje umożliwiające zrootowanie urządzenia jednym kliknięciem. Luka ta była wykorzystywana do ujawniania bieżącego numeru PIN. Następnego dnia wykryto nową lukę w sposobie obsługi danych aplikacji w aplikacji Wallet. W tym przypadku nie jest wymagany dostęp na poziomie root, jak wykazał thesmartphonechamp, ponieważ mamy tu do czynienia z błędem w sposobie działania aplikacji. Zakładając, że została ustanowiona karta Google Prepaid, użytkownik może przejść do interfejsu zarządzania aplikacją i usunąć dane aplikacji dla Google Wallet. Po powrocie do interfejsu aplikacji użytkownik jest proszony o ustanowienie nowego numeru PIN. Błąd polega na tym, że dane karty Google Prepaid nadal istnieją. Po utworzeniu nowego numeru PIN osoba atakująca może bez problemu wykorzystać kartę prepaid jak swoją własną.

Jak tylko połączymy kartę kredytową z jakąś platformą, możemy spodziewać się, że zainteresowanie nią ze strony osób przeprowadzających ataki wzrośnie lawinowo. Powstało już tzw. szkodliwe oprogramowanie bankowe dla Androida i jak tylko Google Wallet rozpowszechni się na wszystkich urządzeniach z Androidem, możemy spodziewać się wzrostu zagrożenia.

Przypuszczam, że to dopiero początek polowania na luki w Google Wallet, jakie nastąpi w przyszłości. Zwłaszcza jeśli weźmiemy pod uwagę wsparcie instytucji finansowych, jakie Google uzyskał dla tego projektu. Mastercard czy Citi to tylko niektóre firmy znajdujące się na coraz dłuższej liście partnerów. Czy opisywany incydent oznacza koniec Google Wallet? Z pewnością nie. Wkroczyliśmy w fazę przejściową, w której kasa “przenosi się ze sklepu do kieszeni użytkownika”. Chociaż technologia Secure Element zapewnia spore bezpieczeństwo za sprawą szyfrowania danych, jeżeli można złamać interfejs, wszystkie założenia okazują się do niczego.