Google Wallet, il sistema che consente i pagamenti tramite cellulare, protegge adeguatamente i codici della carta di credito ma non tutto il resto. La scoperta fatta dagli esperti in sicurezza di ViaForensics sta mettendo in imbarazzo il colosso di Mountain View, ma come sempre siamo di fronte a una caso di hacking professionale. Insomma, un novellino non riuscirà mai ad arrivare a tanto.
Resta il fatto che il nome presente sulla carta di credito, le ultime 4 cifre del codice, il limite di spesa, la data di scadenza, i dati sulle transazioni e altri elementi sono archiviati in database SQLite non crittati del cellulare. Questo è quello che si scopre leggendo il rapporto "Forensic security analysis of Google Wallet" di ViaForensics. Senza contare che l'applicazione pare realizzare un'immagine recuperabile dell'intera carta che potrebbe essere utilizzata potenzialmente in attacchi social engineering.
Google Wallet
"Se conosco il tuo nome, quando hai usato la tua carta recentemente, le ultime 4 cifre del codice e la data di scadenza, sono abbastanza certo di poter usare queste informazioni a mio vantaggio. Quando aggiungi dati che sono generalmente online (come l'indirizzo di qualcuno), un pirata è ben armato per un'azione di social engineering ", si legge sul rapporto.
Preoccupante anche il fatto che alcuni dati sono presenti e accessibili sul cellulare anche quando le transazioni vengono cancellate e Google Wallet disinstallato. "Se ad esempio decidi di vendere il tuo cellulare dopo aver usato Google Wallet, suggerirei di effettuare un completo reset del dispositivo dato che non c'è uno strumento adeguato in Google Wallet per rimuovere ogni dato".
Da sottolineare comunque che ViaForensics ha effettuato tutti i suoi test su uno smartphone Android "rooted", ovvero violato nella sicurezza: in pratica i ricercatori sono riusciti a ottenere un accesso privilegiato. Niente da fare ovviamente per i codici della carta di credito che vengono archiviati direttamente nel chip NXP integrato.
###old602###old
"Lo studio di ViaForensics non mette in discussione l'efficienza dei livelli multipli di sicurezza presenti in Android OS e Google Wallet. Il rapporto si concentra sull'accesso dati di un cellulare rooted, ma anche in questo caso l'elemento sicurezza protegge gli strumenti di pagamento, inclusa la carta di credito e i numeri di sicurezza CVV", ha dichiarato un portavoce di Google.
"Android protegge attivamente contro malware che tentano di accedere alla root senza che l'utente ne sia a conoscenza. In base alle scoperte di questo rapporto abbiamo attuato dei cambiamenti alla App per prevenire che i dati cancellati possano essere recuperati su dispositivi rooted".
Secondo l'analista di Accuvant, Charlie Miller, queste recenti scoperte non andrebbero sottovalutate poiché il semplice prestito del proprio cellulare o la contaminazione attraverso specifiche App potrebbe avere gravi conseguenze. Al momento si parla di possibilità , ma domani con la diffusione in grande scala degli smartphone con chip NFC, come ad esempio il Nexus S, la pirateria informatica potrebbe trovare la sfida quanto mai golosa.