Platenie mobilom od Google nie je bezpečné, PIN je možné hacknúť alebo obísť

DSL.sk, 12.2.2012

Technológia, platforma a aplikácia Google Wallet pre platenie pomocou Android mobilu vo fyzických kamenných obchodoch má dve vážne bezpečnostné chyby, ktoré umožňujú po získaní telefónu zneužiť platobné karty respektíve finančné prostriedky majiteľa.

Informácie o jednej z chýb boli zverejnené tento týždeň, druhá bola objavené v decembri a širšie bola medializovaná tento týždeň.

Google Wallet je aplikácia zatiaľ oficiálne podporovaná len v USA, do ktorej je možné pridať fyzické platobné karty a virtuálnu debetnú platobnú kartu od Google a následne platiť z týchto kariet cez bezdrôtovú technológiu NFC len pomocou mobilu. Platforma bola oficiálne spustená po niekoľkomesačnom teste v septembri minulého roka.

Prístup k aplikácii a plateniu pomocou aplikácie je podobne ako u čipových platobných kariet používaných na Slovensku chránený 4-ciferným PIN-om.

Spoločnosť Zvelo ale tento týždeň demonštrovala získanie tohto PIN-u na rootovanom telefóne, teda telefóne so superužívateľskými právami prístupnými užívateľovi a aplikáciám.

Podľa zistení Zvelo sa totiž PIN neuchováva a jeho kontrola nevykonáva v bezpečnostnom čipe prítomnom v smartphonoch a PIN je uložený v podobe hash sumy SHA-256 v SQLite databáze prístupnej pri root prístupe. PIN je tak pri prístupe k tejto databáze možné jednoducho a rýchlo zistiť preverením maximálne všetkých len 10 tisíc možností.

Zraniteľnosť tak priamo ohrozuje užívateľov Google Wallet, ktorí majú svoj telefón už rootnutý.

V pôvodnom stanovisku Google tvrdil, že v súčasnosti nie je známy žiadny spôsob ako rootnuť Android smartphone s už nainštalovanou aplikáciou Wallet a pritom obísť ochranné mechanizmy, ktoré pri rootovaní mažú uložené dáta aplikácie Wallet vrátane PIN-u. Podľa pôvodného stanoviska tak zraniteľnosť nemalo byť možné použiť na získanie prístupu k Wallet na ukradnutom nerootnutom telefóne.

V sobotňajšom stanovisku ale už spoločnosť Google toto netvrdí a jej stanovisko implikuje skôr opak. "Vo väčšine prípadov, rootovanie vášho telefónu spôsobí automatické vymazanie dát aplikácie Google Wallet zo zariadenia," uvádza totiž.

Po informácii o tejto zraniteľnosti od Zvelo boli následne širšie medializované informácie o inej nepochopiteľnej chybe v návrhu bezpečnosti aplikácie Google Wallet, ktorú prví užívatelia identifikovali na konci decembra.

Pre jej zneužitie stačí aplikácii Wallet, napríklad na ukradnutom telefóne, vymazať uložené informácie na zariadení pomocou štandardnej možnosti dostupnej v nastaveniach Android zariadenia pre každú aplikáciu. Po opätovnom spustení aplikácie táto umožní užívateľovi bez znalosti pôvodného PIN-u aplikácie nastaviť PIN nový.

S vymazaním dát sa z aplikácie síce odstránia informácie o všetkých uložených platobných kartách, pri vytvorení novej virtuálnej platobnej debetnej karty od Google sa táto ale priradí k účtu pôvodného užívateľa aplikácie. Na karte sú tak dostupné aj finančné prostriedky pôvodného užívateľa, ktoré môže nový užívateľ míňať.

Navyše podľa niektorých užívateľov sa do aplikácie Wallet pridala virtuálna debetná karta viazaná na účet pôvodného užívateľa aj po predchádzajúcom úplnom resete Android smartphonu do továrenských nastavení.

V reakcii na túto chybu Google v sobotu oznámil, že dočasne do opravenia problému úplne zastavil možnosť vytvárať nové virtuálne debetné karty. Podľa diskusie užívateľov, ktorí chybu objavili na konci decembra, spoločnosť Google ale na tento problém upozornili ešte v decembri.

Napriek týmto dvom zraniteľnostiam a dokonca zastaveniu vytvárania virtuálnych debetných kariet spôločnosť v stanovisku tvrdí, že riešenie Wallet je dostatočne bezpečné pre mobilné platby a je bezpečnejšie ako fyzické platobné karty a peňaženka.


Najnovšie články:



Diskusia:

Windows Od reg.: Uhlik | Pridané: 12.2.2012 15:24 nechcem robiť flameware, ale všetci čo prskajú na Windows, nech sa páči, takto to vyzerá, keď sa nejaký systém začne používať hromadne ;o) ... Odpovedať Známka: 1.0 Hodnotiť:

Re: Windows Od reg.: Uhlik | Pridané: 12.2.2012 15:25 opr.: flamewar Odpovedať Známka: -6.4 Hodnotiť:

Re: Windows Od reg.: leader | Pridané: 12.2.2012 15:35 ak som to spravne pochopil tak ale toto nie je problem OS ale aplikacie Odpovedať Známka: 5.1 Hodnotiť:

Re: Windows Od: .em | Pridané: 12.2.2012 20:43 Flameware spravil Google... software, ktory pohorel... Odpovedať Známka: 6.0 Hodnotiť:

Re: Windows Od: ZemVzduch | Pridané: 13.2.2012 0:23 už nemci za Hitlera mali podobný software ktorý ale fungoval iba na iPhonoch a bol dostupný iba z nacistického appstore, amíci ho 50 rokov skúmali, testovali a podarilo sa im ho skopčiť na android. nanešťastie nezistili ako funguje enigma takže použili 4 miestny PIN kód pričom pri platení fungujú iba 4 nuly alebo 4 jednotky. Odpovedať Známka: -5.0 Hodnotiť:

peniaze, peňeži, peníze... Od: ľuboš | Pridané: 12.2.2012 15:34 "Škoda", že sme sa nedožili komunizmu. Tam malo byť všetko bez peňazí, iba podľa jeho možností a potrieb /potreba obrovská, možnosť žiadna...:))/ Ešte aj tie ženy mali byť spoločné...mali sme sa o ne deliť. P.S. nevymýšľam si, zrejme v rámci kampane /ako na svk predvolebnej/ to bolo tiež sľubované... To pre tých neskôr narodených. A v komunizme by sme až také starosti s mobilmi nemali... zakázali by sme ich:)) Odpovedať Známka: 1.9 Hodnotiť:

Re: peniaze, peňeži, peníze... Od: asdasdasd | Pridané: 12.2.2012 15:51 jedno aka je tema, vzdy citame to iste dookola, komunizmus, fico, dzurinda, gorila... palte uz do pice na sme alebo hocikde inde... toto je clanok o inom Odpovedať Známka: 4.5 Hodnotiť:

Re: peniaze, peňeži, peníze... Od: justin bieber | Pridané: 12.2.2012 16:29 z coho tolka frustracia? mna tu otravuju vulgarne - spamujuce deti a nevyplakavam sa tu. keby napisal nieco o janke hospodarovej by si mu klikol na plus... Odpovedať Známka: -2.3 Hodnotiť:

Re: peniaze, peňeži, peníze... Od: Neviem | Pridané: 12.2.2012 16:53 Ale ved ma pravdu. Ked budu mat vsetci taky vysoky prah bolesti ako ty, tak to tu do volieb mozme zavriet. Bude to tu ako reklamy na markize pred vianocami, modri a cerveni k....i sa budu prekrikovat. . Ale aby som sa drzal temy o ktorej je clanok. Aj v kapitalizme je kopec zien spolocnych. Nie su zadarmo a vacsinou nie su v najlepsom zdravotnom stave ale pri Slovnafte ich najdes plno. Su lahko dostupne pre siroke masy a o tom je trhova ekonomika. O toto mozme lahko prist, ked budeme volit bezhlavo. O tu demokraciu. Pri slovnafte ... Odpovedať Známka: 9.1 Hodnotiť:

Re: peniaze, peňeži, peníze... Od: justin bieber | Pridané: 12.2.2012 18:20 aj ja mam pravdu. 90 percent prispevkov je balast, janka hospodarova, tlacenie v kancli a vykriky do tmy. ale ked niekto hoci aj oblukom spomenie politiku ako v tomto neskodnom pripade, deti tu zacnu penit ako to sem nepatri... len by ma zaujmalo z coho tolka frustracia v ich malych hlavickach... kazdopadne lol Odpovedať Známka: -2.2 Hodnotiť:

Re: peniaze, peňeži, peníze... Od: Neviem | Pridané: 12.2.2012 19:06 Nie, Justin, bohuzial nemas pravdu. Konkretne nemas pravdu v tomto: . Tlacenie cez wifi, Janka a ostatne vykriky nie su balast, ale tzv. memy. Je to novy fenomen ale kazdopadne to funguje a nejakym sposobom to vytvara komunitu na fore. Je to ziva vec, nesmie sa to prehanat ale nesmie sa to ani uplne zadusit. Takto funguju vsetky dobre fora okrem striktne odbornych. DSL.sk je mikrokomunita, nie odborne forum, tak naivny asi nie si aby si si to myslel,ze? . Ked tu niekto spomenie spomenie politiku, penia nielen deti. Penia ludia akehokolvek veku. Je to podobna situacia ako ked si vyjdes s priatelmi niekam na luku ku ohnisku, pijete pivo a opekate slaninu. Zrazu odkialsi pride medzi vas akysi starsi clovek, cupne si a rovno tam na mieste medzi ostatnymi sa vysere. No co, no co, preco tolka frustracia v malych hlavickach? To je normalne nie? Natiahne gate a chce, aby sme bez slova pokracovali v debate. Odpovedať Známka: 6.2 Hodnotiť:

Re: peniaze, peňeži, peníze... Od: justin bieber | Pridané: 12.2.2012 20:44 tvoje prirovnanie je prehnane. vratme sa ku podstate. ľuboš kultivovane vyjadril svoju uvahu na temu peniaze, hacking, a komunizmus bez penazi. zaluzil si vulgarnu reakciu od toho zakomplexovanca pod nim ? Odpovedať Známka: -6.9 Hodnotiť:

Re: peniaze, peňeži, peníze... Od: fortex | Pridané: 13.2.2012 13:47 pocuvaj ma sem ty trapko. naco sa tu hras? chod sa vyplakat sulin niekomu na kolena alebo si to daj do statusu. Odpovedať Známka: 3.3 Hodnotiť:

Re: peniaze, peňeži, peníze... Od: Hujhf | Pridané: 12.2.2012 21:52 Su to trapne detske bullshity. Taketo veci sa robili aj pred internetom a ked clovek z toho vyrastol, vzdy prisiel na to, ze to bolo trapne a nie zabavne. Odpovedať Známka: -8.0 Hodnotiť:

Re: peniaze, peňeži, peníze... Od reg.: leader | Pridané: 12.2.2012 17:16 who the fuck is justin bieber? Odpovedať Známka: 6.4 Hodnotiť:

Re: peniaze, peňeži, peníze... Od reg.: Milosx | Pridané: 12.2.2012 20:52 youtube.com/watch?v=SmgT-rwn5W4 Odpovedať Známka: 1.4 Hodnotiť:

Re: peniaze, peňeži, peníze... Od: ľuboš | Pridané: 12.2.2012 21:15 asda: Nejako si sa zle vyspal...., nie je Ti smiešne, že sa tu riešia problémy, ktoré ani problémom nie sú? A teké, oveľa závažnejšie, napr., že VŠETKY Tvoje hovory, sms-ky, platby..., prosto VŠETKO, čo urobiš elektronickou formou... sa môže použiť proti Tebe? Operátori sú povinní uchovávať info o Tebe..., ach jáj, komunizmus, to by bol iba slabý odvar, čo prichádza na nás v oblasti špicľovania..:( Odpovedať Známka: -3.3 Hodnotiť:

Re: peniaze, peňeži, peníze... Od: Marvin | Pridané: 12.2.2012 15:53 Jo, jo. Kazdy podla svojich schopnosti, kazdemu podla jeho potrieb, tak mala vyzerat zaverecna faza komunizmu, ked nastane mier a pohoda, proste nirvana. Alebo prva verzia Matrixu, ktora sa ludom nepacila ;) Odpovedať Známka: 7.8 Hodnotiť:

Google kvalitka Od: Neviem | Pridané: 12.2.2012 15:47 Nechcem generalizovat ale v poslednej dobe mam stastie na skusenosti, ked sa ukaze, ze nieco od google je totalne na rit. Minule som riesil adwords, koncilo to telefonatom s ujom google, ktory mi poradil, ze si mam zalozit novy ucet, inak sa neda. Dnes som chcel pouzit google prekladac z nemciny do slovenciny a zle, velmi zle. Aspon ten prehliadac ako tak funguje ... Odpovedať Známka: 4.1 Hodnotiť:

Re: Google kvalitka Od: Kvetoslav | Pridané: 12.2.2012 22:15 To s tymi uctami maju dost zle poriesene. Podla mna aj ten prehliadac ide dole vodou.. Odpovedať Známka: 6.7 Hodnotiť:

Re: Google kvalitka Od: karolkooo | Pridané: 13.2.2012 8:25 Toz pravda, ja som sa uz vratil k firefoxu :( Ten ich "firebug" je nieco hrozne. Odpovedať Známka: 10.0 Hodnotiť:

Re: Google kvalitka Od reg.: Chrix | Pridané: 12.2.2012 23:40 ja som minule prekladal recept z nemčiny do slovenčiny a podla neho som mal sústružiť mrkvu :D Odpovedať Známka: 10.0 Hodnotiť:

Re: Google kvalitka Od: prdlajs | Pridané: 13.2.2012 14:41 zeby novy sposob pripravy pre gurmanov? Odpovedať Známka: 10.0 Hodnotiť:

sdgsdgsg Od: afasfssdg | Pridané: 12.2.2012 15:58 aj ked ide o dost vaznu bezpecnostnu chybu, paci sa mi ako sa k tomu google postavil. ukazali ze im zalezi na bezpecnosti rootnutych zariadeni. ine firmy by sa k tomu postavili sposobom "mas rootnuty telefon takze tvoja bezpecnost sa nas netyka..." Odpovedať Známka: 1.3 Hodnotiť:

Re: sdgsdgsg Od: TO.ca | Pridané: 12.2.2012 16:04 aj si to vobec docital ? Odpovedať Známka: 7.5 Hodnotiť:

Re: sdgsdgsg Od: karolkooo | Pridané: 13.2.2012 8:26 Prepac, ale taky postoj, ze v decembri nahlasia bezbecnostnu chybu a o mesiac to zacnu riesit, je pod uroven. Odpovedať Známka: 7.1 Hodnotiť:

tuknuty Od: tukos | Pridané: 12.2.2012 19:46 Ale zas si zoberte ze ked vam ukradnu penazenku maju pristup k peniazom hned.... a ked mate bezkontaktnu kreditku tak vam ju odpipaju do limitu celkom rychlo.... zato na telefone ich brzdi zamok na obrazovku (ak ho mate nastaveny, patern alebo pin ci facelock), nutnost nainstalovat aplikaciu a v niektorych pripadoch rootnut telefon. Cize stale cas bezat domov a zablokovat telefon ci google wallet. Takze hej je to stale bezpecnejsie, a google Vas nenuti to pouzivat. Odpovedať Známka: 6.7 Hodnotiť:

Re: tuknuty Od: vkr | Pridané: 13.2.2012 8:29 Dnes nikto do nicoho nenuti, uz nie je totalita. To mas ako s mobilmi, nemusis ho mat, ale nemat mobil je uz dost problem. Podobne je to s fb (nemam tam ucet a moji priatelnia sa tam dohaduju co napr. cez vikend a ja som mimo diania..). Uz aj dnes mat len cash nie je take jednoduche (vyplata, paypal...) .. to len na margo toho ze ci google nuti nieco pouzivat. Odpovedať Známka: 10.0 Hodnotiť:

robimcomozem Od: gajo | Pridané: 12.2.2012 20:52 Dnes je bezpecne uz len platit statu dane. Odpovedať Známka: 0.0 Hodnotiť:

Re: robimcomozem Od: ľuboš | Pridané: 12.2.2012 21:18 obávam sa, že nie: Keď zaplatíš vysoké.... štát si povie, eéééj, koťuha! Koľko si ukryl?!! Davaj, davaj..., lebo. Dáš málo: štát si povie ééééj, koťuha, málo si dal!! davaj, davaj, určite máš viac! Keď neplatíš NIČ a iba pýtaš: ééééj koťuha, tu máš, a daj pokoj, nemáme my sa čas s tebou zapodievať... Odpovedať Známka: 8.9 Hodnotiť:

Tewlefony si rootuju iba pubertaci, ze aky ho potom maju fasa. Od: Laco- | Pridané: 13.2.2012 6:05 Hadam si normalny clovek nebude rootovat mobil...A naco ? Odpovedať Známka: 5.0 Hodnotiť:

Re: Tewlefony si rootuju iba pubertaci, ze aky ho potom maju fasa. Od: sensei-san | Pridané: 13.2.2012 9:20 Aby ten mobil dokázal viac, než milostivo dovolil jeho predajca. Odpovedať Známka: 2.5 Hodnotiť:

jak na co? Od: zgeeglo | Pridané: 13.2.2012 9:02 ved aby si sam sebe ukradol peniaze z karty, ty to nechapes? Odpovedať Známka: 10.0 Hodnotiť:

Titulok príspevku musí mať dĺžku aspoň 5 znakov. Od: prihlásený užívateľ. | Pridané: 13.2.2012 9:06 jaj, a tatkovi doma poviem, ze to boli nebezpecni hackeri, nech da dalsie, lebo surne potrebujes do skoly na pytagorovu vetu... Ja to chapem. Odpovedať Známka: 7.1 Hodnotiť:

fuuuck no Od: TLex | Pridané: 14.2.2012 7:26 woow, tak dalsi zaujimavy google pocin. napadlo vobec niekoho pri pisani toho programu ze hashe par tisiciek hesiel sa daju vypocitat aj priamo na telefone! za chvilku! Odpovedať Hodnotiť:

Pridať komentár