Google Wallet, ovvero il portafoglio elettronico per i pagamenti via smartphone, ha una grave falla nel sistema di sicurezza. Il team di hacker Zvelo, che ha scoperto e svelato online il problema, ha spiegato che tutte le informazioni sensibili per le transazioni, dallo user ID al PIN, sono archiviate in una stringa codificata SHA256. Il problema è che con un semplice attacco "brute force", quindi simulando ogni combinazione possibile (circa 10mila in questo caso), sembra non volerci molto a individuare il codice: il PIN di Google Wallet infatti è di soli 4 numeri.
"Google Wallet consente solo cinque codici PIN errati prima di sbattere fuori l'utente. Con questo attacco il PIN può essere rivelato senza nemmeno un tentativo invalido. Tutto ciò mette in discussione la sicurezza di questo sistema di pagamento mobile", si legge sul blog del team Zvelo.
Google Wallet
Google è stata avvertita del problema e ha fatto due considerazioni importanti. La prima è che l'operazione di cracking è stata condotta su un Samsung Nexus S 4G al quale era stato applicato un jailbreak (root) e che quindi non disponeva di tutti i meccanismi di difesa attivi.
La seconda è che per risolvere definitivamente il problema bisognerebbe spostare ogni passaggio della verifica PIN all'interno del modulo sicurezza del sistema NFC - quello per le transazioni wireless. Ma la questione è complicata poiché il cosiddetto Secure Element può eseguire esclusivamente il codice digitalmente stabilito dal produttore.
Google in pratica dovrebbe aggiornarlo, ottenere l'approvazione dal fornitore e poi farglielo inserire. Una strada percorribile anche se un po' articolata. Ben altro problema invece quello legato alle conseguenze sulla policy di responsabilità. Questa transizione del PIN potrebbe chiamare in causa direttamente gli istituti di credito invece che Google.
In ogni caso il colosso statunitense non sembra molto preoccupato e ha ricordato che il rooting sugli smartphone è altamente sconsigliato.
Tassa sui giochi violenti per combattere obesità e bullismo
Nokia: quale piano B? O Windows Phone o affondiamo
Google Screenwise ti paga se ti lasci spiare online
Computer biologico in provetta, molecole come Core i7
Canonical abbandona Kubuntu, KDE non piace abbastanza
Eurocom Panther 4.0, l'Hulk Hogan dei notebook da gioco
Microsoft e Google dicono basta alla guerra dei brevetti
Foxconn punita dagli hacker: vittima o carnefice?
Da Skyrim a Mordor, con un anello che MODificherà tutto
Kodak dice addio alla fotografia, fine di un'era gloriosa
Windows 8 su ARM con Office integrato, miracolo Microsoft
Canon PowerShot D20, compatta subacquea con GPS
LED Soraa, la rivoluzione annunciata che non convince
La cabina di regia per l'Agenda Digitale funziona!
Steve Jobs indagato dall'FBI, aveva un futuro da politico
Monkey Island, i fan pagano 1,2 milioni per tornare al mito
Samsung Serie 5 Ultra: ultrabook imperfetti a 899 euro
Libri digitali obbligatori a scuola, il Ministero boccia la carta
Canon lavora ai nuovi super-teleobiettivi 400mm e 600mm Cellulare TTM Outlimits Solaris con pannello solare integrato Mio Cyclo 300 e Mio Cyclo 305 HC sono GPS da bicicletta Facebook vuole Opera per realizzare un nuovo browser? Microchip nei cetacei per studiare il clima e la fauna marina Le offerte 3 Italia per il Samsung Galaxy SIII in anteprima Steve Jobs geniale ma Cook è il capo perfetto per Apple Absinthe 2.0 per il jailbreak del Nuovo iPad e iOS 5.1.1 Google cancella 1,2 milioni di link pirata al mese TV a Ultra Alta Definizione: si parla già di standard Google cancella 1,2 milioni di link pirata al mese Video e foto niente male con i Project Glass di Google Google assolta perché Android non viola i brevetti Oracle Android Malware Genome Project apre i battenti Musica elettronica: da Robert Moog alle onde ultrasoniche Antitrust UE: ultimatum a Google sulla pubblicità online Chrome ha sorpassato definitivamente Internet Explorer Android 5 moltiplica i Google Nexus, famiglia numerosa Chrome 19 sincronizza le schede con Android ed è più sicuro Quale browser usare su un vecchio computer con Windows XP? Le offerte 3 Italia per il Samsung Galaxy SIII in anteprima Google assolta perché Android non viola i brevetti Oracle Intervista: i giochi Android e iOS sfideranno Xbox, Playstation e PC Tablet Tegra 3 con Android 4.0 a 199 dollari, ormai ci siamo Android Malware Genome Project apre i battenti VIA APC è il concorrente del Raspberry Pi con Android VIA Technologies APC - PR LG Optimus L3 per chi non ha pretese - Video Recensione Motorola RAZR MAXX porta in Italia la batteria dei record Il Samsung Galaxy S 3 è già pronto per le ROM cucinate
Originariamente inviata da Roby10
non ho capito come si fa ad indovinare un PIN a 4 cifre con 4 tentativi...
Originariamente inviata da Roby10
non ho capito come si fa ad indovinare un PIN a 4 cifre con 4 tentativi...
Originariamente inviata da paolo44
da quello che ho capito si recupera l'hash della password, si fa un bruteforce (su 4 numeri credo sia questione di minuti se non di secondi) e si ha il pin.
Originariamente inviata da enri09
Si ma il sistema di sicurezza ti dovrebbe buttare fuori al 5 errore....
Originariamente inviata da CoolWiser
E' un effetto collaterale del jailbreak. Mi spiace ma ha ragione Google. Sono coloro che lo fanno che modificano il terminale rendendolo vulnerabile.
Ad ogni modo non capisco perchè non possono criptare quella stringa contenente le informazioni...
Google Wallet, pagamenti NFC e spionaggio Anche Nokia aderisce al progetto "mobile wallet" Google Wallet per pagare con il cellulare MasterCard e Google Wallet: pagare con il cellulare Anche l'Italia avrà la sua cyber-roccaforte di difesa Windows 8 tutela i minori bloccando i siti e l'uso del PC Carta da parati che blocca il Wi-Fi per sicurezza e salute 60mila utenze Twitter rubate, ma è solo un fuoco di paglia Giochi invece dei CAPTCHA per provare che siamo umani I virus su Mac rendono molti soldi: Flashback conferma
21 commenti
Commenti