Securitatea codului PIN Google Wallet a fost crăpată, dar există o problemă de detalii - în prezent, este o problemă numai dacă telefonul dvs. este înrădăcinat. Nu ai rădăcină? Fără griji. Și cu asta spus și făcut, iată afacerea:
PIN-ul dvs. Google Wallet (numărul de identificare personală) este stocat criptat pe dispozitivul dvs. și a fost găsită o metodă de forță brută pentru a expune informațiile PIN codate hexagonal SHA256 în baza de date. Această metodă, care a fost lansată în mod iresponsabil pentru public, poate găsi codul PIN fără nicio încercare greșită în aplicația Wallet în sine, anulând regula de cinci încercări pe care aplicația o are pentru introducerea PIN-ului. (Vedeți-l în acțiune după pauză.)
Acum iată modul nu atât de sexy de a descrie totul. Va trebui să aveți un telefon cu Google Wallet, ȘI v-ați înrădăcinat dispozitivul, ȘI nu ați setat un ecran de blocare securizat, ȘI apoi să vă pierdeți telefonul. Persoana care o găsește ÎNTREPRINDERE poate folosi aplicația pe care au făcut-o tovarășii de la zvleo și de când a fost distribuită pentru a forța brute PIN-ul și THEN poate folosi telefonul pentru a efectua plăți, la fel cum ar putea dacă ar găsi cardul dvs. de credit, ceea ce probabil ar fi mai rapid și mai ușor decât oricare dintre acestea.
Google a fost notificat și știe deja cum să rezolve problema, dar există o problemă. Pentru a fi mai sigur, Google va trebui să mute informațiile PIN pentru a fi controlate și întreținute de banca dvs. Acest lucru nu numai că va necesita unele modificări ale condițiilor de serviciu, dar apoi ne bazăm pe instituțiile bancare corporative pentru a ne păstra informațiile în siguranță. Aș paria că serverele Citigroup sunt mai ușor de decupat decât cele ale Google, iar apoi veți avea aceeași problemă din nou.
O modalitate mai bună de a remedia problema ar fi să forțezi utilizatorii să utilizeze o parolă mai bună. Informațiile PIN pot fi cracate atât de ușor, deoarece folosește doar patru numere. Acest lucru înseamnă că există doar 10.000 de combinații posibile și chiar și un computer portabil precum telefonul dvs. Android poate scoate acest tip de atac cu forțe brute. Schimbați parola pentru ceva de genul Fgtr5400 și d77 - folosind o combinație de litere, numere și simboluri - și este mult mai puțin probabil să fie spart, și chiar mai puțin probabil să fie folosit, deoarece nu este convenabil. Este un Catch-22 - un PIN este ușor de folosit și de reținut, dar este și mai ușor de fisurat.
Nu o să vă spun să nu mai folosiți Google Wallet și nici nu vă voi spune să încetați să vă înrădăcinați telefonul. Îți voi spune să o ridici și să pui o parolă pe ecranul de blocare acum, înainte să o pierzi.
Sursa: zvelo
Link YouTube pentru vizualizare mobilă
