Una de las cosas que siempre salían a la discusión cuando hablábamos de Google Wallet y los pagos por el móvil era la seguridad. Sólo nosotros deberíamos ser capaces de usarlo para pagar, y para eso Google Wallet implementaba un PIN que bloqueaba los pagos. El problema que se ha encontrado es que el PIN no es tan seguro como parecía.
El grupo de seguridad Zvelo ha encontrado dos fallos que permiten acceder a Google Wallet saltándose el PIN. Uno sólo afecta a terminales con root: ejecutando una aplicación con permisos de superusuario se puede extraer el PIN. El método es simple: el PIN se almacena cifrado en la memoria del teléfono. Como sólo hay cuatro cifras (10.000 posibilidades), la aplicación prueba todos los pins posibles hasta que uno de ellos coincide con el que está cifrado.
No afecta a demasiados usuarios porque son pocos los que tienen el terminal rooteado. Sin embargo, no inspira mucha confianza el hecho de que en unos segundos una aplicación pueda adivinar tu PIN, tal y como demuestran en el vídeo de arriba.
El otro fallo es más grave, porque es más fácil de explotar y no requiere root. Simplemente hay que borrar los datos de la aplicación desde el menú de ajustes. Así, cuando volvamos a abrir Google Wallet nos pedirá un nuevo PIN que podremos usar para desbloquear la tarjeta. Fácil, rápido y muy peligroso.
Google ha hecho unas declaraciones sobre las vulnerabilidades. Sobre la primera, han recomendado a los usuarios con el móvil rooteado que no instalen Wallet. Vale, muy bien, pero ¿qué ocurre si me alguien me roba el teléfono y lo rootea? La culpa no es mía: es de Google por no asegurar bien la aplicación.
En cuanto al otro fallo, lo que recomiendan es añadir más capas de protección al teléfono, como por ejemplo un patrón o un PIN para desbloquearlo. Vamos, que si nos cambian el PIN no es culpa de Google por no asegurarse de que esto no ocurra: es culpa nuestra por no ponerle un PIN.
Nuestro dinero no es una cosa que se pueda tomar a la ligera. Si Google Wallet tiene estos fallos y encima responden prácticamente desentendiéndose no me están animando lo más mínimo a usarlo para pagar. Desde mi punto de vista, Google debería tomarse más en serio este tema si quiere que los usuarios adoptemos Wallet.
Vía | Xataka Móvil
Más información | Zvelo
Comentarios
1 Comentario moderado
-57.5...
interesante
Me voy a molestar en responderte pero antes tengo que decirte que eres un completo maleducado y un ignorante.
Si alguna empresa se toma en serio la privacidad de sus propios usuarios es Google. Es de las pocas empresas que se centran y trabajan duramente en ello. Aunque no siempre lo consiguen y este es un caso.
El problema se ha resuelto con fuerza bruta. Es decir, se han probado todas las combinaciones posibles hasta encontrar la correcta. Como puedes ver el culpable de todo esto no es en si la aplicación sino como se guarda que en este caso es con una mierda de pin de 4 dígitos. Es tan peligroso como una tarjeta.
¿Solución? Cambiar esos 4 dígitos por otra cosa más complicada. Pero siempre se tendrá acceso al fichero codificado donde se guardará esa contraseña. Todo se andará para buscar una solución que contente a todo el mundo.
Antes de despotricar deberías saber un mínimo de lo que hablas. Creo que eres un ignorante fanboy y enrabietado con Google por a saber que. Tu verás xD
-- editado por última vez a las 15:35
Por cierto el método de fuerza bruta es el mejor para sacar una contraseña. ¿Cuál es la pega? que es muy lento y hay que tener todas las combinaciones pero es el mas eficaz porque solo tiene que sonar la flauta y ya esta.
Se llama DJ Cani, ¿qué esperas? xD
Yo borraría tu blog también. Recordemos que Blogger pertenece a Google, así que ya sabes :P
XD
jajaja yo tambien lo vi XD
menudo personaje...
El del acceso a Root supongo que lo podrán arreglar haciendo que cuando el móvil sea Root se desactive y borre todos los datos de Googlw Wallet. Creo que siempre que rooteas un móvil tienes que reiniciarlo, con lo que cada vez que enciendes el móvil podía comprobarlo.
En el segundo fallo de borrar los datos, también se borran las tarjetas, pero si quieres añadir una tarjeta de Google parece que te la pilla ya de tu cuenta y no te pide la contraseña de tu cuenta al estar ya identificado en Gmail, Android Market, Maps y cía. Aquí la solución es sencilla, que te pida siempre la contraseña de tu cuenta de Google.
Seguramente Google corrija estos fallos, ya que le interesa que su sistema de pago sea más seguro que las tarjetas físicas PayPass, las cuales si no me equivoco, ni piden PIN ni en las tiendas te piden identificarte. Vamos, que si te encuentras una tarjeta PayPass en el suelo ni la tienes que Rootear ni borrar sus datos.
Lo suyo es poner un limite de 3 intentos, que la contraseña almacenada esté hasheada, y además que para hacer transferencias o comprar se pida mas datos a parte de esa contraseña ridícula, tipo lo que se hace en los bancos. Que se permita ejecutar todas las posibilidades sin limite de intentos, sea el motivo que sea, es un fallo de los gordos.
El punto es que cuando se descubre que algoritmo se usa para el HASH es simple...Como dicen en el post son sólo 10k de posibilidades, lo que para un teléfono actual hacer 10k cálculos es de dar risa.
Con lo de poner un límite de 3 intentos, pues eso lo puede gestionar Google desde la aplicación, el problema es cuando se guarda el HASH en un fichero, a como lo encuentre algún listillo (que lo va a encontrar), no habrá manera de parar que ese archivo se pueda leer, solo que Google pusiera una restricción sobre ficheros creados por el sistema.
Yo preferiría que se hiciera un hash del PIN y que al momento de pagar te pida una contraseña propia y que tu creas, que sea alfanumérica y demás.
es increible que un programa de google para este tipo de propositos, tenga unos fallos tan garrafales como estos
Supongo que como de costumbre, al menos le habrán puesto la coletilla de beta.
Escribir un comentario
Para hacer un comentario es necesario que te identifiques: ENTRA o conéctate con FacebookConnect