Эксперты из Zvelo Labs нашли уязвимость в Google Wallet

Платежная система от Google является одной из наиболее молодых — и понятно, что этот «свежий» сервис еще нужно приглаживать и исправлять найденные недоработки. На днях эксперты из Zvelo Labs в лице Джошуа Рубина опубликовали информацию о найденной критической уязвимости Google Wallet. Команда из Zvelo Labs не только нашли уязвимость, но и написали специальное ПО для эксплуатации этой «дыры». ПО под Google Wallet позволяет быстро узнавать PIN-код владельца аккаунта этой платежной системы.

Правда, для этого требуется физический доступ к мобильному устройству с установленным приложением платежной системы. Однако это не такая уж и проблема — при необходимости злоумышленники могут без труда вычислять тех владельцев мобильных устройств, у которых есть мобильное устройство с Google Wallet, и красть эти девайсы. «Мастеров», которые все это могут провернуть, хватает. Да и потерянные телефоны тоже могут служить источником дохода для злоумышленника.

Сейчас эксперт из Zvelo Labs говорит, что разработчики в Google уже проинформированы об этой уязвимости, и стараются как можно быстрее закрыть дыру. Джошуа Рубин, который обнаружил уязвимость, говорит, что написанное им приложение позволяет без труда узнать PIN пользователя платежной системы, уже со второй попытки (всего на правильный ввод PIN дается пять попыток). Хорошо уже то, что удаленно узнать PIN не получится, нужен только физический доступ к устройству, как уже говорилось выше.

Интересно, что недавно была опубликована информация об еще одной уязвимости, которая позволяла получить доступ к wallet путем очистки данных с телефона. В итоге обманутая программа делает «первый запуск», в начальной конфигурации. Все это позволяет злоумышленнику без труда использовать Google Wallet на чужом телефоне.

Ниже можно видеть демонстрацию принципа работы второй уязвимости.

Via h-online + economictimes

+18

12 февраля 2012, 14:52

marks 503,3

комментарии (21)

Zlobober 12 февраля 2012, 15:18 #

Хоть бы какие детали реализации, в чём, собственно, была досадная оплошность разработчиков, сообщили.

–5

dreamjke 12 февраля 2012, 15:29 # ↑

Сначала комментируете, затем читаете статью? При удалении данных приложения оно предлагает ввести новый пин к кошельку.

Zlobober 12 февраля 2012, 15:36 # ↑

Я как раз статью читал, видео смотрел. Насколько я понял, в статье говорится об уязвимости, которая позволяет узнать PIN. О ней информации никакой. Вы же мне сейчас говорите о второй уязвимости, которая упомянута под «кстати». И о которой идёт видео.

ComodoHacker 12 февраля 2012, 16:02 # ↑

После исправления, видимо, раскроют.

+18

alexxxst 12 февраля 2012, 17:58 #

Из этого поста я узнал, что существует такая платежная система…

Vanger13 12 февраля 2012, 19:57 # ↑

Везет вам. Я вот узнал про систему из рабочей задачи «проинтегрироваться с Google Wallet» -_-

bumbay 12 февраля 2012, 18:30 #

Прикольный ползунок у плеера.

Neofant 13 февраля 2012, 08:28 # ↑

Какой плеер? Какой еще ползунок? >(

bumbay 13 февраля 2012, 13:27 # ↑

clip2net.com/s/1Av2w

Mairon 12 февраля 2012, 18:35 #

Жаль, что не на всех телефонах делают биометрические сенсоры типа сканеров отпечатков пальца. А то раз-два и обчёлся.

mariofag 12 февраля 2012, 19:14 # ↑

Биометрические сенсоры недостаточно безопасны для использования в такой системе.

PocketSam 12 февраля 2012, 21:28 # ↑

Они не так надежны, как вы о них думаете. Это скорее даже дополнительная брешь в безопасности.

Mairon 12 февраля 2012, 21:57 # ↑

Это почему? Есть рабочий эксплойт под смартфоны с биометрической защитой на Android?

Enrey 12 февраля 2012, 19:43 #

Я тоже знаю уязвимость в Google Wallet. Она называется Google Wallet. Заключается она в том, что если вы не вышли из своего аккаунта Gmail, любой человек может заплатить с вашей кредитной карты, например, за приложение в Android Mаrket без всяких подтверждений.

Ну почему в том же яндексе чтобы совершить платеж, нужно ввести дополнительный платежный пароль, а гуглу — достаточно того что кто-то уже когда-то вошел в аккаунт???

tentakle 12 февраля 2012, 20:38 # ↑

Wallet требует повторного ввода пароля при входе.

Gafs 12 февраля 2012, 20:54 # ↑

Wallet, может, и требует, а вот гугл чекаут — нет. В итоге никаких проверок при покупке в андроид маркете нет, и если телефон попал в руки злоумышленника (или ребёнка, неизвестно что хуже), с привязанной карты на маркете могут отовариться, как говорится, от души.
Почему эту дыру в гугле не закрывают много лет, несмотря на многочисленные просьбы — загадка.

smironov 12 февраля 2012, 21:52 # ↑

У Android Market есть возможность защиты покупок по PIN-коду.

Gafs 13 февраля 2012, 02:28 # ↑

Я так понимаю это тот, который задаётся в настройках маркета?
Если да, то это какая-то невразумительная профанация, смысл которой довольно туманен.
Для снятия этой защиты, и гугл не скрывает этого, достаточно зайти в управление приложениями и удалить данные маркета. После повторного запуска маркета пин-кода больше не будет.
По всей видимости это защита от маленьких, но шаловливых детей, что-то типа капчи.

Volshebnyi 13 февраля 2012, 09:44 # ↑

А я знаю про уязвимость Android для телефонов. Заключается она в том, что если телефон не заблокирован, любой человек может за ваши деньги позвонить за границу оформить платную подписку, отправить тонны смс. Никакого пин-кода или чего-то такого не требуется.

Enrey 13 февраля 2012, 10:51 # ↑

Пожалуйста, не надо путать средства на счете телефона, которые я положил для мобильной связи и интернета со счетом кредитной карты, остаток средств на которой теоретически неограничен.

Плюс телефон — физическое устройство которое я могу забрать с собой, а куки оставляемые gmail в кэше браузера может использовать любой другой пользователь компьютера.

norguhtar 13 февраля 2012, 06:02 #

Между прочим уже закрыли.

Только зарегистрированные пользователи могут оставлять комментарии. Войдите, пожалуйста.