portal It Web 13/02/2012
Quando pesquisadores revelaram no fim deste ano que o Google
Wallet armazenava dados sensíveis do usuário em texto comum no dispositivo,
também deram crédito ao aplicativo por sua proteção PIN. Mas ,agora, a última
linha de defesa foi exposta por outro estudioso, que nesta semana lançou a
prova de conceito e crackeou a PIN do produto.
Joshua Rubin, engenheiro sênior da Zvelo, postou na última
semana sua prova de conceito (PoC) que demonstrava como crackear o PIN de 4
dígitos do Google Wallet usado para autorizar e processar pagamentos móveis. O
PIN é considerado a camada extra de segurança não existente em um cartão de
crédito, mas Rubin acabou com essa estratégia: “com esse ataque, o PIN é
revelado nem nenhuma tentativa inválida. Isso negativa completamente toda a
segurança de sistema de pagamento móvel”.
Em dezembro, pesquisadores da viaForensics descobriram que o
app armazena localmente dados do pagamento do cartão em texto simples, como o
nome do proprietário, datas de transações, endereços de e-mail e estrato
bancário.
O aplicativo de pagamentos do Google permite que
osconsumidores façam transações com cartões de crédito e uem cartões-presente
em lojas por meio de seus celulares. Para executá-lo, o usuário precisa digitar
a PIN de quatro dígitos.
Apesar de o aplicativo esconder o número completo do cartão,
viaForensics descobriu que os últimos quatro dígitos ficam na database SQLite
local em formato de texto simples. A mesma empresa também descobriu que Google
Wallet repele ataques man-in-the-middle e, na época, deu crédito pelas
transações serem conduzidas com a proteção da PIN.
Rubin, da Zvelo, postou detalhes do PoC, bem como um vídeo,
no qual ele força aa PIN, com um long-integer mais um hash SHA256.
O aplicativo usa o Near Field Communication (NFC), com base
na tecnologia RFID, que se comunica com o Secure Element (SE), armazenado em um
chip no dispositivo. “É como o chip e o modelo PIN em cartões de créditos
europeus”, afirmou Tyler Shields, pesquisador de segurança da Veracode.
Rubin afirma que o Google possui uma correção para o
problema. “Eles têm correção já há um tempo. O código é alocado em um lugar que
exige que applets no SE sejam atualizados… Mas não é utilizado”.
Isso porque não fica claro de onde partir, já que mover a
verificação PIN para o SE significa ficar sob a alçada dos bancos, os quais
seriam responsável pele segurança do PIN, da mesma forma que fazem com
pagamentos de cartões. “Se trata de saber sob qual política ele se enquadra. Se
estiver sob a alçada dos bancos, eles têm que aceitar o risco”, afirmou Rubin.
Então, qual é o risco para os usuários do Google Wallet?
Apesar de Rubin ter hackeado um Android com root, smartphones nonrooted, ou
desbloqueados, não são imunes ao ataque. “Tudo o que um invasor precisa é aceso
ao dispositivo e então realizar o desbloqueio”.
Em um comunicado, o Google afirmou que realizar o
desbloqueio do dispositivo é perigoso: “O estudo da Zvelo foi conduzido em um
telefone com o mecanismo de segurança desabilitado. Até o momento, não há
vulnerabilidades conhecidas que propiciem que alguém pegue o celular do
consumidor e ganhe acesso root enquanto preserve qualquer informação do Wallet,
como o PIN”.
“Pedimos a todos que não instalem o Google Wallet em
dispositivos rooted e que sempre adicionem o bloqueio de tela como uma camada
adicional de segurança”.
Rubin também tem algumas recomendações para os usuários se
protegerem:
Não desbloqueie
seu telefone. Isso ajuda os invasores.
Habilite bloqueio
de tela, como desbloqueio por reconhecimento de face, padrão, PIN e senha, em
vez de apenas desbloquear com o escorregar dos dedos.
Desabilite a USB.
Habilite
codificação completo de disco
Mantenha o
software atualizado e use somente o original.
Tradução: Alba Milena especial para o IT Web | Revisão:
Adriele Marchesini
Nenhum comentário:
Postar um comentário