Google Wallet, ovvero il portafoglio elettronico per i pagamenti via smartphone, ha una grave falla nel sistema di sicurezza. Il team di hacker Zvelo, che ha scoperto e svelato online il problema, ha spiegato che tutte le informazioni sensibili per le transazioni, dallo user ID al PIN, sono archiviate in una stringa codificata SHA256. Il problema è che con un semplice attacco "brute force", quindi simulando ogni combinazione possibile (circa 10mila in questo caso), sembra non volerci molto a individuare il codice: il PIN di Google Wallet infatti è di soli 4 numeri.
"Google Wallet consente solo cinque codici PIN errati prima di sbattere fuori l'utente. Con questo attacco il PIN può essere rivelato senza nemmeno un tentativo invalido. Tutto ciò mette in discussione la sicurezza di questo sistema di pagamento mobile", si legge sul blog del team Zvelo.
Google Wallet
Google è stata avvertita del problema e ha fatto due considerazioni importanti. La prima è che l'operazione di cracking è stata condotta su un Samsung Nexus S 4G al quale era stato applicato un jailbreak (root) e che quindi non disponeva di tutti i meccanismi di difesa attivi.
La seconda è che per risolvere definitivamente il problema bisognerebbe spostare ogni passaggio della verifica PIN all'interno del modulo sicurezza del sistema NFC - quello per le transazioni wireless. Ma la questione è complicata poiché il cosiddetto Secure Element può eseguire esclusivamente il codice digitalmente stabilito dal produttore.
Google in pratica dovrebbe aggiornarlo, ottenere l'approvazione dal fornitore e poi farglielo inserire. Una strada percorribile anche se un po' articolata. Ben altro problema invece quello legato alle conseguenze sulla policy di responsabilità . Questa transizione del PIN potrebbe chiamare in causa direttamente gli istituti di credito invece che Google.
In ogni caso il colosso statunitense non sembra molto preoccupato e ha ricordato che il rooting sugli smartphone è altamente sconsigliato.