Google Wallet je na Androidech s rootem snadno napadnutelný

Google Wallet je na Androidech s rootem snadno napadnutelný

Androidí peněženka Google Wallet má problém – čtyřmístný pin lze prolomit klasickým útokem typu brute-force směřovaným na kontrolní součet pinu. V praxi si to vyzkoušeli bezpečnostní analytici z webu zvelo.com.

Platební systém od Googlu postavený na NFC se skládá ze dvou částí. Ze vcelku běžné aplikace Wallet a ze samotného NFC systému, který obsahuje část zvanou Secure Element. SE je něco podobného jako SIM Toolkit na telefonní kartě. Je to oddělený systém od běžného života Androidu, ke kterému mohou přistupovat pouze výrobcem podepsané programy. Secure Element v sobě obsahuje informaci o platební kartě.

Secure Element je zabezpečený a útočník by se k němu neměl dostat. Lidé z webu Zvelo se ovšem podívali na zoubek aplikaci Wallet. To je už běžný správce napsaný v Javě, do kterého se dostanete po zadání čtyřmístného pinu.

Aplikace si ukládá kontrolní součet pinu do SQLite databáze ve své vnitřní paměti. Za běžných okolností se k ní tedy cizí program nedostane, protože je Android dostatečně sandboxovaný – vzájemně izolovaný. To se vše ale změní v okamžiku, kdy telefon rootnete. Pak můžë libovolná aplikace získat přístup do kompletního linuxového systému a to včetně souborů cizích programů.

Porovnávací kontrolní součet se generuje ze čtyřmístného čísla, útočník má tedy po ruce nějakých 10 000 kombinací. Pokud vám někdo rootnutý telefon s aktivním Wallet ukradne, pin prolomí poměrně rychle a tím pádem získá skrze Wallet přístup i k vaší platební kartě.

Nás to zatím trápit nemusí, NFC platby se tu totiž teprve rozjíždějí a Google zde Wallet nenabízí, nicméně je to i doklad toho, že root je sice dobrý služebník, ovšem docela komplikovaný pán. Práva k telefonu totiž nemusíte získat pouze vy jako majitel zařízení, ale i nějaká mnohem zákeřnější aplikace.

Diskuze (25) Další článek: Betaverze Windows 8 bude k dispozici 29. února

Témata článku: Technologie, Google, Mobility, Čtyřmístný PIN, Cizí program, Root, Běžná platba, Běžná aplikace, Secure Element, Běžný správce, Element, Cizí video, Kontrolní systém, Platební systém, Google+, Wallet, Platební karta, Platební peněženka


Určitě si přečtěte

Google Coral: Raspberry Pi s čipem, který zpracuje 4 biliony operací za sekundu

Google Coral: Raspberry Pi s čipem, který zpracuje 4 biliony operací za sekundu

** Je to velké jako Raspberry Pi ** Ale je to až o několik řádů rychlejší ** Dorazil nám exotický Google Coral s akcelerátorem Edge TPU

Jakub Čížek | 18

Starý smartphone nemusí skončit v koši. 10 způsobů, jak ho ještě můžete využít

Starý smartphone nemusí skončit v koši. 10 způsobů, jak ho ještě můžete využít

** Co dělat s vysloužilým chytrým telefonem? Neházejte ho do koše! ** Našli jsme pro vás deset možností, jak ho prakticky využít ** I stará zařízení tak mohou být užitečná

Karel Kilián | 48

HTTPS byl pouze první krok. Chrome zavádí DoH, tedy šifrované DNS. Dopady mohou být obrovské

HTTPS byl pouze první krok. Chrome zavádí DoH, tedy šifrované DNS. Dopady mohou být obrovské

** Šifrovaný web je dnes už samozřejmost ** Jeden díl skládačky ale ještě chybí – DNS ** Firefox už začal a teď se na šifrované DNS chystá i Chrome

Jakub Čížek | 96


Aktuální číslo časopisu Computer

Megatest: 20 powerbank s USB-C

Test: mobily do 3 500 Kč

Radíme s výběrem routeru

Tipy na nejlepší vánoční dárky