Portfel Google da się dość łatwo złamać

Portfel Google da się dość łatwo złamać
Wpisany przez Administrator
poniedziałek, 13 lutego 2012 16:40
Specjaliści z firmy Zvelo odkryli poważny błąd w zabezpieczeniach usługi Google Wallet
(wirtualnego portfela, umożliwiającego dokonywanie płatności za pomocą telefonu
komórkowego). Okazało się, że PIN chroniący usługę przed nieautoryzowanym
wykorzystaniem można złamać - za pomocą ataku brute-force - w zaledwie kilkadziesiąt
sekund.
Specjaliści firmy Zvelo stworzyli program, który jest w stanie w krótkim czasie złamać PIN usługi
Google Wallet (składający się z czterech cyfr). O problemie został już powiadomiony Google aczkolwiek odkrywcy błędu podkreślają, że nie da się go łatwo rozwiązać jakąś aktualizacją. Ich
zdaniem tak naprawdę jedynym 100% rozwiązaniem byłoby włączenie się banków do procesu
zabezpieczania transakcji dokonywanych z wykorzystaniem Google Wallet.
"To nie była skomplikowana operacja. Wiedzieliśmy, że PIN składa się z czterech cyfr, co
zawężało liczbę wartoiści funkcji skrótu (SHA256) do wyliczenia do 10 000. To banalne zadanie
nawet dla platformy tak ograniczonej, jak smartfon - udowodnienie tego nie zajęło nam zbyt
wiele czasu" - tłumaczy Joshua Rubin, starszy inżynier z Zvelo.
Warto podkreślić, że na atak na razie narażona jest niewielka liczba użytkowników - Google
Wallet nie jest jeszcze zbyt popularną usługą (jest dostępny tylko dla użytkowników Nexusa S
oraz Galaxy Nexusa). Co więcej - atak jest skuteczny tylko w przypadku telefonów, które
zostały "zrootowane" (tzn. z których usunięto zabezpieczenia narzucone przez producenta).
Przedstawiciele Zvelo tłumaczą, że Wallet jest podatny na atak m.in. dlatego, że hasło jest tylko
czteroznakowe (firma zauważa jednak, że konieczność podawania bardziej złożonego hasła
przy każdej transakcji z pewnością zniechęcałaby użytkowników do korzystania z usługi.
Kolejny problem polega na tym, że Google Wallet do przechowywania i szyfrowania wszelkich
poufnych informacji wykorzystuje komponent o nazwie Secure Element (SE) - a już wcześniej
wykazano, że możliwe jest nieautoryzowane pozyskanie z niego niektórych informacji.
"Kluczowe jest to, że w ramach informacji o PIN przechowywane są ziarno (long integer) oraz
skrót PIN-u (SHA256) - można go złamać przez atak brute-force. Dlatego też weryfikacja PIN
powinna dokonywać się w SE, zaś wartość funkcji skrótu dla PIN i ziarno nie mogą być
przechowywane poza SE" - tłumaczy Joshua Rubin.
1/2
Portfel Google da się dość łatwo złamać
Wpisany przez Administrator
poniedziałek, 13 lutego 2012 16:40
Rozwiązaniem tego problemu może być przeniesienie weryfikacji do SE - aczkolwiek na takie
działanie niekoniecznie mogą zgodzić się banki (ponieważ w pewnym stopniu staną się one
współodpowiedzialne za zabezpieczenie numerów PIN). Zdaniem przedstawiciela Zvelo,
niektóre banki będą wołały raczej zgodzić się na ryzyko związane z istnieniem luki, niż na
finansowe i operacyjne konsekwencje uczynienia ich współodpowiedzialnymi za
bezpieczeństwo PIN-ów.
Firma Zvelo przygotowała pięć wskazówek dla użytkowników Google Wallet, chcących
maksymalnie zabezpieczyć swoje urządzenia przed nowym atakiem:
1. Nie "rootuj" telefonu - po takiej operacji ryzyko ataku jest znacznie wyższe,
2. Włącz blokadę ekranu (jakąkolwiek) i PIN w telefonie - będzie dodatkowo utrudniała
nieautoryzowanemu użytkownikowi uzyskanie dostępu do Google Wallet,
3. Wyłącz debugowanie USB. Jeśli jest włączone, możliwe jest pozyskanie danych z urządzenia
bez podawania PIN (poprzez podłączenie go do komputera),
4. Włącz szyfrowanie pamięci w telefonie,
5. Aktualizuj wszelkie oprogramowanie zainstalowane w telefonie - z systemem operacyjnym na
czele.
Źródło:Networld.pl
2/2