RORWpadka Google Wallet: PIN na tacy
Newsletter
REKLAMA
TYLKO U NAS

Wpadka Google Wallet: PIN na tacy

Michał Kisiel2012-02-10 07:30analityk Bankier.pl
publikacja
2012-02-10 07:30
Promowana przez Google na amerykańskim rynku usługa mobilnego portfela pozwala korzystać z telefonu jak z karty zbliżeniowej. Aplikacji Google Wallet strzeże ustalany przez użytkownika PIN. Okazuje się jednak, że numer ten można pod pewnymi warunkami z urządzenia wydobyć.

Złodziej, który wejdzie w posiadanie cudzego telefonu z aplikacją Google Wallet, mógłby po poznaniu PIN-u, dokonywać transakcji w imieniu swojej ofiary. Numer PIN zapisany jest na urządzeniu w postaci przetworzonej przez jednokierunkową funkcję skrótu SHA256 (tzw. hashującą). Specjaliści z firmy Zvelo odkryli plik, który przechowuje numer PIN i przygotowali aplikację, która metodą „brute force”, czyli testując 10000 możliwych kombinacji, jest w stanie odczytać kod odblokowujący Google Wallet.



Na taki atak narażone są tylko telefony pozbawione blokady fabrycznie nakładanej przez producentów smartfonów, tzw. zrootowane. Mimo, że prawdopodobieństwo praktycznego wykorzystania tej słabości aplikacji mobilnego portfela jest niewielkie, to informacje o luce w usłudze Google mogą przynieść szkody wizerunkowe gigantowi planującemu podbicie rynku płatności detalicznych.

Google odpowiadając na doniesienia o luce, zalecił użytkownikom, aby nie instalowali aplikacji Wallet na urządzeniach zrootowanych oraz by korzystali z dodatkowego zabezpieczenia telefonu, jakim jest blokada ekranu.

Michał Kisiel
analityk Bankier.pl
m.kisiel@bankier.pl
Źródło:
Michał Kisiel
Michał Kisiel
analityk Bankier.pl

Specjalizuje się w zagadnieniach związanych z psychologią finansów, analizuje, jak płacą i zadłużają się Polacy. Doktor nauk ekonomicznych, zwolennik idei społeczeństwa bez gotówki. Pomysłodawca finansowego eksperymentu "2 tygodnie bez portfela", w ramach którego banknoty i karty płatnicze zamienił na smartfona. Telefon: 501 820 788

Tematy
Orange Nieruchomości
Orange Nieruchomości
Advertisement

Komentarze (4)

dodaj komentarz
~Tomasz
00
Co za artykuł, sorry ale to typowa dziennikarka niewiedza + działania PR ze strony firmy, która chce się wylansować, to może też być czarny PR konkurencji
1. SHA256 jest obecnie uznawanym za bezpieczny algorytmem haszującym i jak narazie przy obecnych mocach obliczeniowych nie ma sensownej możliwości złamania go ( w sensownym Co za artykuł, sorry ale to typowa dziennikarka niewiedza + działania PR ze strony firmy, która chce się wylansować, to może też być czarny PR konkurencji
1. SHA256 jest obecnie uznawanym za bezpieczny algorytmem haszującym i jak narazie przy obecnych mocach obliczeniowych nie ma sensownej możliwości złamania go ( w sensownym dla człowieka czasie ), oczywiście jest to wiedza ogólno dostępna , być może jakieś służby złamały ten algorytm, ale takie założenie eleminowałoby każdy algorytm. Np inny algorytm haszujący MD5 jest złamany i można znaleźć narzędzia do łamania go.
2. Google zapewne daje klauzule w umowie, że nie ponoszą odpowiedzialność za działanie aplikacji na zrootowanym Systemie operacyjnym, ktoś może sobie zainstalować taką wersję, która przed wysłaniem zaszyfrowanych informacji wyświetla ich niezaszyfrowaną treść - po prostu taka modyfikacja HTTPS albo SSL;
3. Nie zrootowany telefon odmówiłby dostępu po N nieudanych próbach;
4. Próba tej firmy opierała sią na użyciu pewnej ilości ( 10.000 lub 100.000 ) najbardziej popularnych PIN ów, ta tak jakby użytkownik miał PIN 1234, i byłby zdziwiony , że hacker złamał wszystkie zabezpieczenia ponieważ zaczął włamanie metodą brutalnej siły, a w takich sytuacjach zaczyna się od najbardziej popularnych kombinacji.
Przykre, ale artykuł żenujący.
Pozdrawiam
~Batory
00
Już czas najwyższy rozwiązać sprawę IPN-u, , Jest to komórka Państwowa Która WINNA BYĆ UDOSTĘPNIONA HISTORYKOM I TYLKO HISTORYKOM A NIE TYM KTÓRZY SZUKAJĄ HAKA NA INNYCH I CAŁY CZAS MIESZAJĄ W POLITYCE .TO JUŻ CZAS PRZESZŁY ŻYJMY TERAŻNIEJSZOŚCIĄ A NIE PRZESZŁOŚCIĄ..CZAS WYBACZYĆ GRZECHY I WRÓCIĆ DO NORMALNOŚCI I DNIA DZISIEJSZEGO.Już czas najwyższy rozwiązać sprawę IPN-u, , Jest to komórka Państwowa Która WINNA BYĆ UDOSTĘPNIONA HISTORYKOM I TYLKO HISTORYKOM A NIE TYM KTÓRZY SZUKAJĄ HAKA NA INNYCH I CAŁY CZAS MIESZAJĄ W POLITYCE .TO JUŻ CZAS PRZESZŁY ŻYJMY TERAŻNIEJSZOŚCIĄ A NIE PRZESZŁOŚCIĄ..CZAS WYBACZYĆ GRZECHY I WRÓCIĆ DO NORMALNOŚCI I DNIA DZISIEJSZEGO. TAK MÓWIĄ NAUKI BOŻE. WIĘC PANIE J. KACZYŃSKI NIE PIELĘGNUJ PAN NIENAWIŚCI W SOBIE CZAS ZACZĄĆ LOGICZNIE MYŚLEĆ I POSTĘPOWAĆ......
~Batory
00
Już czas najwyższy rozwiązać sprawę IPN-u, , Jest to komórka Państwowa Która WINNA BYĆ UDOSTĘPNIONA HISTORYKOM I TYLKO HISTORYKOM A NIE TYM KTÓRZY SZUKAJĄ HAKA NA INNYCH I CAŁY CZAS MIESZAJĄ W POLITYCE .TO JUŻ CZAS PRZESZŁY ŻYJMY TERAŻNIEJSZOŚCIĄ A NIE PRZESZŁOŚCIĄ..CZAS WYBACZYĆ GRZECHY I WRÓCIĆ DO NORMALNOŚCI I DNIA DZISIEJSZEGO.Już czas najwyższy rozwiązać sprawę IPN-u, , Jest to komórka Państwowa Która WINNA BYĆ UDOSTĘPNIONA HISTORYKOM I TYLKO HISTORYKOM A NIE TYM KTÓRZY SZUKAJĄ HAKA NA INNYCH I CAŁY CZAS MIESZAJĄ W POLITYCE .TO JUŻ CZAS PRZESZŁY ŻYJMY TERAŻNIEJSZOŚCIĄ A NIE PRZESZŁOŚCIĄ..CZAS WYBACZYĆ GRZECHY I WRÓCIĆ DO NORMALNOŚCI I DNIA DZISIEJSZEGO. TAK MÓWIĄ NAUKI BOŻE. WIĘC PANIE J. KACZYŃSKI NIE PIELĘGNUJ PAN NIENAWIŚCI W SOBIE CZAS ZACZĄĆ LOGICZNIE MYŚLEĆ I POSTĘPOWAĆ......
~wewewe
00
brawo dla poziomu... wpierw glupawy artykul o biednych pseudo-sklepach, teraz 'onetowy' naglowek a pozniej sie okazuje, ze nie na tacy i w sumie to trzeba stawac na glowie, a to i tak tylko mozliwe w pewnych przypadkach...

Powiązane: Karty

Polecane

Najnowsze

Popularne

Ważne linki

Giełda
Finanse
Rozliczenie pit
Zanim wyjdziesznie przegap tego, co ważne w finansach!