miércoles, 22 de febrero de 2012

Fallo de seguridad en Google Wallet



Para empezar, hay que decir que Google Wallet es un sistema de pago electrónico de Google que de momento sólo está disponible en EEUU. El servicio permite pagar utilizando un terminal con tecnología NFC en cualquier tienda que admita esta tecnología. Es un servicio para pequeños pagos que soporta tarjetas Mastercard o tarjetas prepago virtual de Google (Con la cantidad de dinero que quieran). Para poder pagar, el usuario se baja una aplicación y configura la tarjeta de una manera sencilla, luego, para autorizar la compra sólo necesita introducir un PIN de cuatro dígitos.

¿Y el fallo?

Supongamos que por un casual perdemos el teléfono, nos lo roban o se lo dejamos a un amigo troll,  en principio, la idea sería que esta persona no pudiese pagar ya que no sabría el PIN, pero en la realidad si que puede por una serie de fallos en la aplicación.

Un programa llamado Google Wallet Cracker permite obtener el PIN de un teléfono rooteado, Google Wallet básicamente guarda el registro de pagos y configuraciones (metadata) en un archivo, más concretamente en una base de datos de sqlite3 y encriptados con el sistema SHA256 hex, sabiendo que el PIN tiene cuatro dígitos, sólo se requiere el cálculo de a lo sumo 10.000 SHA256 hashes, cálculo que el procesador de un teléfono inteligente tarda muy poco en hacer. El principal problema de esta vulnerabilidad, está en la necesidad de que el terminal esté rooteado, ya que sino es imposible acceder a los metadatos de Google Wallet.


Por si una vulnerabilidad no fuese poco, hay otra, en este caso mucho más tonta y sin necesidad de que el teléfono esté roteado. Simplemente hay que ir a opciones y eliminar los datos de la aplicación Google Wallet, al iniciarla otra vez será como la primera vez que se inicie y habrá que configurarla (Acepto los términos y condiciones del servicio, blablablá…) y al añadir una tarjeta podemos añadir una tarjeta prepago de Google sin tener que introducir ningún dato, ya que la tarjeta prepago se fija al móvil y no a una cuenta de Google.



Por suerte para los usuarios de Google Wallet, Google tardó poco en cerrar este agujero de seguridad en su programa y después de un breve periodo ya vuelve a emitir tarjetas prepago. Cómo yo ya había pronosticado en clase, el pago mediante teléfonos no es seguro de momento, y nunca lo será si no somos cautos. Cómo ya dijo Aristófanes:
"La desconfianza es la madre de la seguridad"

Fuentes:

2 comentarios:

  1. Me parece un grave error en Google y repito, como también había hecho Armando, que no me parece un método seguro para realizar compras por la facilidad que tienen los "hackers" para desestabilizar todos los servicios que ofrece Internet. Yo, personalmente, nunca usaría este método porque no confío mucho en dar mis datos en Internet y menos, si cabe, los datos de acceso a mis cuentas de ahorros.

    ResponderEliminar
    Respuestas
    1. Yo no diría "desestabilizar" sino "poner a prueba" qué es lo que nos hace estar mejorando constantemente

      Eliminar