[akt] Google Wallet má bezpečnostní problémy

[akt] Google Wallet má bezpečnostní problémy 2012-2-10

Placení mobilním telefonem kdekoliv je asi sen nejednoho mobilního nadšence. Tento způsob platby je chápán jako budoucnost a pomalinku se začíná rozšiřovat, hlavně v USA. Ačkoliv u nás se tento způsob plateb pouze testuje, tak se ho můžeme dočkat v nedaleké budoucnosti. Společnost Google má pro tyto platby vlastní službu, která se jmenuje Google Wallet.

google-wallet

Aby jste mohli využívat Google Wallet na mobilním telefonu, tak musíte mít zajisté mobil s Androidem a také musí být v něm obsažena NFC technologie. Jak se zdá, tak ani tento způsob plateb nebude 100% bezpečný. Na tuto problematiku se musíme podívat také z úhlu penetrace malwaru na Android Marketu, i když Google představil svého bezpečnostního “bota” Bouncer, tak je zde stále velké riziko, že vás někdo okrade o peníze skrze Wallet.

Společnost Zvelo, která se zabývá detekcí nebezpečného malwaru, nyní vydala zprávu o bezpečnostní chybě v Google Wallet. Nemusíte se přímo obávat, nejedná se o jednoduchý způsob (musí být splněno dost podmínek), ale není to nemožné. Zvelo uvádí, že existuje možnost, jak získat PIN (bezpečnostní heslo) k vašemu účtu na Google Wallet skrze váš mobil. Aby někdo mohl prolomit a využít tuto chybu, tak mobil musí splňovat následující body:

  1. Google Wallet musí být na telefonu s NFC
  2. mobil musí mít root
  3. mobil nesmí mít bezpečnostní heslo na odemknutí displeje
  4. mobil vám musí někdo ukradnout (ztrati)
  5. mobil nesmí mít žádný bezpečnostní program, kterým jej můžete vzdáleně vymazat
  6. Osoba, která najde nebo ukradne mobil, musí znát tuto bezpečnostní chybu a musí vědět, jak ji zneužít

Na následujícím videu je zobrazena ukázka toho, jak se dá dostat k PINu na Google Wallet.

Jak vidíte, je to poměrně jednoduché. Naštěstí je tu jednoduchý návod na to, jak se této chybě bránit. Výše uvedené body jsou vlastně návodem k tomu, jak zabránit zloději prolomení Vaše hesla. Prakticky z daného seznamu bodů stačí splnit dvě podmínky, mít na mobilu bezpečnostní heslo pro odemknutí displeje, mít k dispozici nějakou službu na vzdálené vymazání přístroje a nemít v mobilu root.

Samozřejmě můžete namítat, že by se jednalo o velkou náhodu, aby k něčemu takovému došlo. Bohužel způsoby nabourávání bezpečnosti systémů se zlepšují a zanedlouho může být tento postup ještě jednodušší. Již nyní se spekuluje o tom, že by něco podobného mohl zvládnout sofistikovanější malware. Proto začněte myslet již nyní na bezpečnost svých dat na mobilu a neinstalujte aplikace z warezu. Nebo minimálně využijte nějakou službu na vzdálené vymazání mobilu.

Zdroj: zvelo.com


Aktualizováno:

Google se nechal slyšet, že na odstranění této bezpečnostní chyby pracuje a v brzké době bude uvolněna bezpečnostní aktualizace. Samozřejmě, že nás to nemusí v ČR tížit až tak moc, ale je to velmi dobré upozornění pro majitele mobilů s rootem.


Další bezpečnostní chyba

Pokud si uživatelé mysleli, že jsou před výše uvedeným způsobem chránění, tak se celkem pletou. Nyní byla objevena další bezpečnostní chyba, která nevyžaduje ani root telefonu. Dokonce zloděj nepotřebuje nic hackovat a tentokrát se jedná o ještě jednodušší záležitost. Nový způsob byl objeven a zveřejněn na webu The Smartphone Champ. Jedná se spíše o chybu samotné aplikace Google Wallet a kdo ji bude znát, tak se může dostat jednoduše k účtu majitele smartphonu u Googlu (Google prepaid card). Celý postup je zachycen na následujícím videu.

Ano, viděli jste správně. Tentokrát stačí vymazat lokální data u aplikace Google Wallet. Po následném spuštění aplikace začne nanovo inicializační proces a aplikace vás požádá o nový PIN. Následně se spáruje s účtem na Googlu a zloděj může platit kdekoliv.

Google se nechal slyšet, že se bude snažit vydat ihned vydat bezpečnostní aktualizaci, která opraví aspoň tyto základní chyby. Zřejmě bude následovat důkladná bezpečnostní revize celé aplikace, jelikož objevit dvě zásadní bezpečnostní chyby, není zrovna příjemné a vytváří to pochyby.

KategorieČlánkyVidea
Přemysl Vaculík

Androiďák, šéfredaktor, tvůrce @dotekomanie a +dotekomanie.cz. Také milovník adrenalinových sportů, na které nemá čas.