reklama

Google Wallet je na Androidech s rootem snadno napadnutelný

Androidí peněženka Google Wallet má problém – čtyřmístný pin lze prolomit klasickým útokem typu brute-force směřovaným na kontrolní součet pinu. V praxi si to vyzkoušeli bezpečnostní analytici z webu zvelo.com.

Platební systém od Googlu postavený na NFC se skládá ze dvou částí. Ze vcelku běžné aplikace Wallet a ze samotného NFC systému, který obsahuje část zvanou Secure Element. SE je něco podobného jako SIM Toolkit na telefonní kartě. Je to oddělený systém od běžného života Androidu, ke kterému mohou přistupovat pouze výrobcem podepsané programy. Secure Element v sobě obsahuje informaci o platební kartě.

Secure Element je zabezpečený a útočník by se k němu neměl dostat. Lidé z webu Zvelo se ovšem podívali na zoubek aplikaci Wallet. To je už běžný správce napsaný v Javě, do kterého se dostanete po zadání čtyřmístného pinu.

Aplikace si ukládá kontrolní součet pinu do SQLite databáze ve své vnitřní paměti. Za běžných okolností se k ní tedy cizí program nedostane, protože je Android dostatečně sandboxovaný – vzájemně izolovaný. To se vše ale změní v okamžiku, kdy telefon rootnete. Pak můžë libovolná aplikace získat přístup do kompletního linuxového systému a to včetně souborů cizích programů.

Porovnávací kontrolní součet se generuje ze čtyřmístného čísla, útočník má tedy po ruce nějakých 10 000 kombinací. Pokud vám někdo rootnutý telefon s aktivním Wallet ukradne, pin prolomí poměrně rychle a tím pádem získá skrze Wallet přístup i k vaší platební kartě.

Nás to zatím trápit nemusí, NFC platby se tu totiž teprve rozjíždějí a Google zde Wallet nenabízí, nicméně je to i doklad toho, že root je sice dobrý služebník, ovšem docela komplikovaný pán. Práva k telefonu totiž nemusíte získat pouze vy jako majitel zařízení, ale i nějaká mnohem zákeřnější aplikace.

Témata článku: Google, Technologie, Mobility, Wallet, Element, Root

25 komentářů

Nejnovější komentáře

  • albion66 11. 2. 2012 19:39:15
    Root na telefoni i na tabletu mam vhradne pro potreby bezpecnostnich...
  • skyfinger 11. 2. 2012 13:49:36
    Pochopil jsme jednu věc, je třeba mít "rootnutý" telefon, aby šlo získat...
  • Tomáš Růžička 9. 2. 2012 23:36:15
    Nebudu tvrdit že bezpečnostní díra v platebním systému není problém, ale...
reklama
Určitě si přečtěte

UPC překopli páteřní kabel. V Brně i druhý den nejede internet ani kabelovka

UPC překopli páteřní kabel. V Brně i druhý den nejede internet ani kabelovka

** V Brně byl velký výpadek služeb UPC ** Důvodem je překopnutý páteřní kabel ** V některých lokalitách služby stále nefungují

5.  12.  2016 | Jakub Čížek | 100

17 expertek Microsoftu předpovědělo rok 2027. Splní se alespoň něco?

17 expertek Microsoftu předpovědělo rok 2027. Splní se alespoň něco?

** Zmizí klasické vyhledávače ** Budeme programovat buňky ** Kvantové počítače překonají šifry

6.  12.  2016 | Jakub Čížek | 34

ASUS ZenBook 3 se začal prodávat v Česku. Je ve všem lepší než MacBook, ale bude to stačit?

ASUS ZenBook 3 se začal prodávat v Česku. Je ve všem lepší než MacBook, ale bude to stačit?

** Novinka od Asusu míří přímo proti MacBooku od Applu ** Nabídne daleko více výkonu za stejné peníze

2.  12.  2016 | David Polesný | 145

11 tipů na dobrý stolní počítač: od základu po herní mašiny

11 tipů na dobrý stolní počítač: od základu po herní mašiny

** Postavte si stolní počítač! Máme pro vás 11 vzorových sestav s rozpisem komponent ** Většina tipů cílí na hráče, věnujeme se ale i základnímu PC a počítačům na střih videa ** Nadělte si nový počítač třeba pod stromeček

5.  12.  2016 | Adam Kahánek | 73


reklama