Google Wallet, la cui traduzione in italiano è 'portafoglio', è un sistema che contiene le informazioni delle proprie carte di credito. Può essere usato direttamente online oppure anche dal telefonino ed è utile per sfruttare offerte ed effettuare pagamenti.
Oggi arriva la notizia che questo sistema sensibile è stato violato.
Degli hacker di zVelo hanno scoperto una falla di sicurezza che consente di rivelare "facilmente" il PIN (il codice personale) dell'utente. Il test è stato effettuato prendendo uno smartphone della gamma Nexus di Google 'rooted'. Il sistema di verifica del PIN può essere neutralizzato se attaccato brutalmente.
Gli utenti pertanto, per poter contare su una protezione ottimale contro ogni ventuale attacco, dovrebbero astenersi dal rooting del dispositivo, dovrebbero applicare una password personale, disabilitare l'USB debuggging e infine abilitare il Full Disk Encription.
Comunque la scoperta, secondo quanto ha rivelato zVelo, è stata prontamente riportata a Google. Il colosso della ricerca sul web ha risposto che è "d'accordo su una risoluzione veloce del problema".
Per risolvere la situazione, la verifica del PIN deve essere spostata all'interno del chip NFC, più sicuro.
Questa situazione comunque richiederebbe una maggiore coordinazione con le banche, infatti spostare il PIN implicherebbe anche di spostare la responsabilità della sicurezza del PIN stesso.
Ora sembra che aggirare la sicurezza del dispositivo violando il codice PIN sia possibile anche sui dispositivi 'vergini', ossia sui quali non sia stata fatta alcuna operazione di root. L'operazione può essere fatta da qualsiasi utente non autorizzato nel giro di pochi minuti.
Il sistema per accedere ai dati è stato scoperto dal blog The Smartphone Champ.
E' possibile resettare la password cancellando i dati dell'applicazione dal menu delle impostazioni. Per accedere a questi ultimi infatti non è necessaria alcuna password. Una volta eseguita l'operazione, il sistema domanderà l'inserimento del nuovo PIN senza chiedere prima che venga inserito quello precedente.
A questo punto diventa imbarazzante la facilità con la quale si possa violare un'applicazione che dovrebbe contenere i dati delle carte di credito degli utenti.
Dopo che la scorsa settimana erano state messe a nudo due falle di sicurezza della piattaforma di pagamento Google Wallet, Google aveva deciso precauzionalmente di disabilitare tutti i servizi collegati alle carte di credito.
Martedì il colosso dei motori di ricerca sul web aveva confermato che i problemi di sicurezza erano stati sistemati. Gli utenti, dunque avrebbero potuto tornare a usare normalmente il servizio.
Comunque sia sembra che la società di sicurezza zVelo non sia ancora soddisfatta delle contromisure. Gli smartphones 'rooted' infatti sono ancora vulnerabili e, sebbene Google abbia affermato che non ci sono utenti con lo smartphone 'rooted' che usino il servizio, è stato obbiettato che il problema continua a sussistere.
Infatti chiunque potrebbe rubare uno smartphone Android, sottoporlo al root e infine accedere alle credenziali di Google Wallet. Un ulteriore metodo per evitare che ciò avvenga sta nel proteggere lo smartphone con il codice di sicurezza.
Le due falle di sicurezza erano state scoperte una a ridosso dell'altra. Nel primo caso era stato fatto notare che in un dispositivo Android 'rooted' è possibile risalire al PIN. Nel secondo caso era stato mostrato come fosse possibile fare lo stesso anche con un telefonino originale, semplicemente resettando la password.
Per un approfondimento, consigliamo di leggere i due precedenti articoli cliccando sul tag "Google Wallet".