A Google fejlesztőinek egy súlyos sebezhetőséget kell megszüntetniük a Google Wallet alkalmazásban, ugyanis az bizonyos körülmények között jelentősen megkönnyítheti a tolvajok, csalók számára a károkozást. A hibára először a Smartphone Champ blogja hívta fel a figyelmet, amikor közölte, hogy azon eltulajdonított vagy ellopott androidos készülékek, amelyeken engedélyezett volt a Google Wallet és aktív egy Google Prepaid Card (feltöltőkártya), azokon a tolvajok egyszerűen ki tudják játszani a PIN-kódos védelmet, majd a saját céljaikra használhatják fel a kártyán lévő összeget.

Megkerülős csel

A Smartphone Champ egyik bloggere, Hashim arra lett figyelmes, hogy a Google Wallet nem kapcsolja össze megfelelően a feltöltőkártyát, illetve az ahhoz tartozó egyenleget a felhasználó Google fiókjával, és leginkább lokális ellenőrzésekre hagyatkozik. Hashim szerint, ha egy tolvaj kezébe kerül egy androidos készülék, akkor azon ki tudja törölni a Google Wallet beállításait, majd az alkalmazás újbóli inicializálását, és egy új PIN-kód megadását követően a telefonhoz eredetileg tartozó Prepaid Card gond nélkül hozzáadhatóvá válhat a szoftverhez. Ezt követően pedig a készülék eredeti tulajdonosának kártyával lehet fizetni. „A Google Prepaid számlát nem kapcsolták össze a Google fiókkal, hanem azt csak a készülékekhez illesztették hozzá. Nem tudom, hogy miért ezt az utat választotta a Google, de ez egy elég nagy biztonsági rés" - mondta Hashim.

A Google tulajdonképpen már elismerte a sérülékenység létezését, és jelezte, hogy dolgozik a probléma megoldásán. A jelenlegi elképzelések szerint egy automatikusan települő, felhasználó beavatkozást nem igénylő frissítés fog elérhetővé válni a Wallethez. A Google minden feltöltőkártyás ügyfelének azt javasolta, hogy ha elveszik az okostelefonja vagy el akarja adni a készülékét, akkor azt azonnal jelezze, hogy a kártya, illetve a fiók letiltása időben megtörténhessen.

Rájár a rúd a Walletre

A fenti sebezhetőség nyilvánosságra kerülését megelőző napokban már egy másik biztonsági rés is felmerült a Google Wallet kapcsán. Ez a sérülékenység a PIN-kódok visszafejtését segíti. A Zvelo által kidolgozott hackelési technika alapjaiban véve egyszerű brute force-ra épül, és azt használja ki, hogy a Google a PIN-kódokat - SHA-256 hash-elést követően - letárolja a készülékeken. Mivel a PIN-kódok négy karakterből állnak, ezért nem kell túl sokat találgatni a megfejtésükhöz. De, hogy még gyorsabb legyen a folyamat Joshua Rubin, a Zvelo mérnöke kifejlesztett egy olyan, Wallet Cracker nevű alkalmazást, amely képes kiolvasni a PIN hash értékét, és előre tárolt értékekkel való összehasonlítást követően gyorsan visszafejteni azt. (Az alkalmazás működéséhez szükség van a készülékek rootolására.)

-vége-

A hír megjelenését a Biztonságportál támogatta.