Платежная система google wallet уже скомпрометирована

Платежная система google wallet уже скомпрометирована
Пользователи новой совокупности бесконтактных платежей Гугл Wallet взяли предупреждение о обнаружении уязвимости, разрешающей обходить код подтверждения, предохраняющий пользователя от несанкционированного проведения платежа преступником. В пятницу ИТ-эксперт компании Zvelo Labs Джошуа Рубин представил демонстрационное видео и созданное им экспериментальное ПО, талантливое скоро вычислять PIN-код пользователя Гугл Wallet и несанкционированно проводить платежи, похищая средства с телефона. Рубин говорит, что Гугл уже взял предупреждение о проблеме и трудится над экстренным исправлением. Кроме этого он подчернул, что , пока Google не устранит уязвимость, он будет размещать созданное им приложение Cracker в свободном доступе. Совокупность безопасности Гугл Wallet допускает только пять попыток ввода PIN-кода, по окончании чего блокируется для пользователя. При помощи данной атаки PIN возможно вычислить со второй попытки. Уязвимость всецело сводит на нет все совокупности безопасности данной платежной технологии, — пишет Джошуа Рубин в собственном блоге…

По окончании того, как атакующий приобретает PIN-код, они имеет полный доступ к любой информации о пластиковых картах, хранящейся в приложении и может делать приобретения, применяя ваш телефон, — говорит Джимми Шах, эксперт по безопасности компании McAfee. В Гугл Wallet нет вторых пользовательских средств защиты, взяв PIN-код преступники смогут применять телефон как простую банковскую пластиковую карту, — говорит он.

Рубин говорит, что с целью проведения приобретений хакерам нужно иметь физический доступ к телефону, поскольку, лишь взяв смартфон, возможно трудиться с программой Cracker. Удаленный взлом неосуществим. В качестве временной меры безопасности эксперт рекомендует применять совокупности шифрования данных и разные совокупности запирания экрана смартфона.

Отметим, что на сегодня единственными аппаратами, поддерживающими Гугл Wallet являются смартфоны Nexus S и Galaxy Nexus. В Гугл говорят, что собираются распространить помощь платежной системы на большее количество Android-смартфонов.

Одновременно с этим ИТ-блог Smartphone Champ обнародовал информацию о еще одной уязвимости в Гугл Wallet, которая разрешает атакующему получить доступ к предоплаченной виртуальной карте Гугл Prepaid Card через несложный сброс PIN-кода. В соответствии с опубликованным данным, уязвимость трудится, в то время, когда Prepaid Card не приявязана к аккаунту пользователя в единой совокупности аутентификации Гугл, а имеет привязку лишь к мобильному устройство пользователя.

Так, преступнику нужно похитить телефон, скинуть PIN-код вычистить все данные в Гугл Wallet при помощи последовательности манипуляций. После этого совокупность, не найдя данных для аутентификации, преложит их ввести в начальной конфигурации так, как словно бы бы совокупность запускается легитимным пользователем в первый раз.

В Гугл говорят, что компания в курсе и этого бага и трудятся над исправлением.

Источник: cybersecurity

Интересно почитать:

Регистрация Google Wallet


Комментарии и пинги к записи запрещены.

Комментарии закрыты.