Hackerek vásárolhatnak a felhasználók nevében a Google Wallet feltörése miatt

Hackereknek sikerült rájönniük miként lehet a Google elsősorban mobiltelefonokon alkalmazott, de azon kívül is használható fizetési szolgáltatása, a Wallet biztonsági kódját feltörni. A törésnek köszönhetően lehetővé válik a felhasználók által a vásárlási tranzakciók jóváhagyására használt, de az Android telefonokon a Wallet által automatikusan elmentett PIN visszafejtése, amelynek birtokában a hackerek az illető felhasználó nevében és számlájának terhére vásárolhatnak tetszőleges dolgokat.

Bár a Wallet a felhasználók PIN kódját titkosítva tárolja a telefonokat, ezt azonban egy biztonságos chip helyett olyan memóriaterületen teszi, ami más programok számára is hozzáférhető. Ráadásul, bár a rendszer a PIN titkosításához a viszonylag modern SHA256 titkosítást használja fel, mivel azonban a PIN esetében egy igen rövid 4-jegyű kódról van szó, az maximum 10.000 próbálkozásból brute-force megoldással egy tipikus asztali gépen a másodperc törtrésze alatt megtörhető.

Az egyetlen jó hír, hogy a PIN titkosított formájának kiolvasásához root jog szükségeltetik, ami azt jelenti, hogy erre a letöltött alkalmazásoknak egy gyári állapotú telefonon nincs lehetőségük. Ugyanakkor a rootolt készülékeken megvan a veszélye annak, hogy az akár a hivatalos Android Marketből vagy más forrásból beszerzett alkalmazások ehhez az információhoz is hozzáférnek és elküldik azt gazdáik részére, ezáltal lehetővé utóbbiak számára, hogy az áldozatul esett felhasználó kárára és költségére vásárolhassanak a Google fizetési szolgáltatásán keresztül.