A Google fejlesztőinek egy súlyos sebezhetőséget kell megszüntetniük a Google Wallet alkalmazásban, ugyanis az bizonyos körülmények között jelentősen megkönnyítheti a tolvajok, csalók számára a károkozást. A hibára először a Smartphone Champ blogja hívta fel a figyelmet, amikor közölte, hogy azon eltulajdonított vagy ellopott androidos készülékek, amelyeken engedélyezve volt a Google Wallet és aktív egy Google Prepaid Card (feltöltőkártya), a tolvajok egyszerűen ki tudják játszani a PIN-kódos védelmet, majd a saját céljaikra használhatják fel a kártyán lévő összeget - írja a Computerworld.

Megkerülős csel

A Smartphone Champ egyik bloggere, Hashim arra lett figyelmes, hogy a Google Wallet nem kapcsolja össze megfelelően a feltöltőkártyát, illetve a hozzá tartozó egyenleget a felhasználó Google fiókjával, és leginkább lokális ellenőrzésekre hagyatkozik. Hashim szerint, ha egy tolvaj kezébe kerül egy androidos készülék, akkor azon ki tudja törölni a Google Wallet beállításait, majd az alkalmazás újbóli inicializálását, és egy új PIN-kód megadását követően a telefonhoz eredetileg tartozó Prepaid Card gond nélkül hozzáadhatóvá válhat a szoftverhez. Ezt követően pedig a készülék eredeti tulajdonosának kártyával lehet fizetni. „A Google Prepaid számlát nem kapcsolták össze a Google fiókkal, hanem azt csak a készülékekhez illesztették hozzá. Nem tudom, hogy miért ezt az utat választotta a Google, de ez egy elég nagy biztonsági rés" - mondta Hashim.

AP

A Google tulajdonképpen már elismerte a sérülékenység létezését, és jelezte, hogy dolgozik a probléma megoldásán. A jelenlegi elképzelések szerint egy automatikusan települő, felhasználó beavatkozást nem igénylő frissítés fog elérhetővé válni a Wallethez. A Google minden feltöltőkártyás ügyfelének azt javasolta, hogy ha elvész az okostelefonja vagy el akarja adni a készülékét, ezt azonnal jelezze, hogy a kártya, illetve a fiók letiltása időben megtörténhessen.

Rájár a rúd a Walletre

A fenti sebezhetőség nyilvánosságra kerülését megelőző napokban a Google Wallet másik biztonsági réséről is érkezett hír. Ez a sérülékenység a PIN-kódok visszafejtését segíti. A Zvelo által kidolgozott hackelési technika alapjaiban véve egyszerű brute force-ra épül, és azt használja ki, hogy a Google a PIN-kódokat - SHA-256 hash-elést követően - tárolja a készülékeken. Mivel a PIN-kódok négy karakterből állnak, ezért nem kell túl sokat találgatni a megfejtésükhöz. De, hogy még gyorsabb legyen a folyamat, Joshua Rubin, a Zvelo mérnöke kifejlesztett egy olyan, Wallet Cracker nevű alkalmazást, amely képes kiolvasni a PIN hash értékét, és előre tárolt értékekkel való összehasonlítást követően gyorsan visszafejteni. (Az alkalmazás működéséhez szükség van a készülékek rootolására.)

A Google a Zvelo-féle biztonsági problémát is vizsgálja, de egyelőre csak annyit közölt, hogy rootolt készülékeken nem ajánlja a Wallet alkalmazás használatát.