Google Wallet: Jedna bezpečnostní díra zalepena, předplacené karty opět ve hře

wallet_ikona

Minulý pátek jsme vás informovali o dvou bezpečnostních chybách, umožňujících zneužití elektronické peněženky Google Wallet. V pondělí přišla zpráva, že Google kvůli možnosti zneužití Google Wallet dokonce dočasně zakázal předplacené karty. Protože bezpečnost a elektronické peněžní transakce jsou pro Google citlivými oblastmi, pracovalo se velmi intenzivně na nápravě. Výsledkem je včerejší oznámení, podle kterého se podařilo zalepit jeden z bezpečnostních nedostatků – konkrétně ten, který dovolil po odstranění dat aplikace nastavit nový PIN a získat tak přístup k virtuálním předplaceným kartám.

Viceprezident Google Wallet and Payments Usáma Bédier na blogu Google Commerce sdělil: „Včera odpoledne jsme v aplikaci Wallet znovu obnovili možnost přidání nových předplacených karet. Kromě toho jsme vydali opravu, která zabraňuje získání přístupu k existující předplacené kartě. Ačkoli nemáme žádné zprávy o zneužití předplacených karet nebo Google Wallet, související s těmito informacemi, učinili jsme tento krok jako preventivní opatření k zajištění bezpečnosti našich zákazníků. Pokud se vám z jakéhokoli důvodu nedaří získat přístup k zůstatku na kartě, kontaktujte naši bezplatnou podporu.“

Dolary na předplacených kartách jsou tedy opět v bezpečí. Uživatelé rootnutých telefonů si ale nadále musí dělat starosti o bezpečnost svých financí, protože problém se získáním PINu přes útok typu brute-force nadále zůstává aktuální. Google doporučuje neinstalovat aplikaci Wallet na rootnutá zařízení a zmiňuje, že ke zjištění PINu může dojít pouze při fyzickém přístupu k telefonu. Z tohoto důvodu doporučuje používat bezpečnější zámky obrazovky, chránící vstup do systému PINem, gestem, nebo biometricky („face unlock“).

Google Wallet Security: Demo of PIN Exposure Vulnerability

Google Wallet Security: Demo of PIN Exposure Vulnerability

Doufejme, že Google odstraní tuto chybu s další aktualizací aplikace Google Wallet, nebo s novou verzí Androidu. Podle dosavadních informací Google interně testoval Android 4.0.4, ale kolují zvěsti, že k uživatelům se dostane až Android 4.0.5, který by měl být pro Galaxy Nexus dostupný v březnu, další telefony pak budou následovat.

Společnost Zvelo, jejíž vedoucí systémový inženýr Joshua Rubin upozornil na jednu z bezpečnostních chyb, ale nesouhlasí s tím, že by uvedený způsob zajištění byl zcela dostačující. Poukazuje na fakt, že nejnovější verze Androidu pro Samsung Galaxy Nexus 4.0.2 (ICL53F) používá linuxové jádro 3.0.8-gaaa2611, obsahující známou chybu CVE-2012-0056, která dovoluje škodlivé aplikaci získat práva roota. Lidé ze společnosti Zvelo provedli testy, a povedlo se jim získat práva roota na Galaxy Nexusu s posledním firmwarem. To jim umožnilo získat přístup k peněžence Google a jakýmkoli dalším citlivým údajům, aniž by zařízení muselo být před útokem rootnuté. K zjištění PINu tedy není nutný fyzický přístup k zařízení, neboť škodlivá aplikace může používat uvedený exploit, získat práva roota na dálku a odeslat data Google Wallet na vzdálený server. Jádro 3.0.18 má tuto chybu již opravenou.

Joshua Rubin dále konstatuje, že téměř jistě existují i další chyby, dovolující zvýšení úrovně oprávnění v rámci systému, a je pravděpodobně jen otázkou času než budou objeveny a stanou veřejně známými. Doporučuje zaujmout defenzivnější přístup k zabezpečení mobilních zařízení, neboť lze předpokládat, že tyto chyby budou využívány a zneužívány. Rubin dále varuje, že se můžeme dočkat situace, kdy škodlivá aplikace získá oprávnění root, přečtěte ze zařízení všechna data a pošle je zpět na server na webu – to vše bez vědomí uživatele.

Zdroje: Android Phone Fans, Android Central, blog Google Commerce, Gizmodo, Droid Life, Android and Me, blog Zvelo

Karel Kilián
O Autorovi - Karel Kilián

S překonanou čtyřicítkou je s náskokem nejstarším členem redakce :-). Před několika lety hypoteticky vymyslel operační systém svých snů, aby následně zjistil, že přesně na… více o autorovi

Mohlo by vás zajímat

Komentáře (0)