Specjaliści firmy Zvelo stworzyli program, który jest w stanie w krótkim czasie złamać PIN usługi Google Wallet (składający się z czterech cyfr). O problemie został już powiadomiony Google - aczkolwiek odkrywcy błędu podkreślają, że nie da się go łatwo rozwiązać jakąś aktualizacją. Ich zdaniem tak naprawdę jedynym 100% rozwiązaniem byłoby włączenie się banków do procesu zabezpieczania transakcji dokonywanych z wykorzystaniem Google Wallet.

"To nie była skomplikowana operacja. Wiedzieliśmy, że PIN składa się z czterech cyfr, co zawężało liczbę wartoiści funkcji skrótu (SHA256) do wyliczenia do 10 000. To banalne zadanie nawet dla platformy tak ograniczonej, jak smartfon - udowodnienie tego nie zajęło nam zbyt wiele czasu" - tłumaczy Joshua Rubin, starszy inżynier z Zvelo.

Zobacz również:

• Luka w zabezpieczeniach WordPress
• Ta technika rozwiązuje problem ograniczonej wielkości okien kontekstowych obsługujących modele językowe LLM

Warto podkreślić, że na atak na razie narażona jest niewielka liczba użytkowników - Google Wallet nie jest jeszcze zbyt popularną usługą (jest dostępny tylko dla użytkowników Nexusa S oraz Galaxy Nexusa). Co więcej - atak jest skuteczny tylko w przypadku telefonów, które zostały "zrootowane" (tzn. z których usunięto zabezpieczenia narzucone przez producenta).

Przedstawiciele Zvelo tłumaczą, że Wallet jest podatny na atak m.in. dlatego, że hasło jest tylko czteroznakowe (firma zauważa jednak, że konieczność podawania bardziej złożonego hasła przy każdej transakcji z pewnością zniechęcałaby użytkowników do korzystania z usługi.

Kolejny problem polega na tym, że Google Wallet do przechowywania i szyfrowania wszelkich poufnych informacji wykorzystuje komponent o nazwie Secure Element (SE) - a już wcześniej wykazano, że możliwe jest nieautoryzowane pozyskanie z niego niektórych informacji. "Kluczowe jest to, że w ramach informacji o PIN przechowywane są ziarno (long integer) oraz skrót PIN-u (SHA256) - można go złamać przez atak brute-force. Dlatego też weryfikacja PIN powinna dokonywać się w SE, zaś wartość funkcji skrótu dla PIN i ziarno nie mogą być przechowywane poza SE" - tłumaczy Joshua Rubin.

Rozwiązaniem tego problemu może być przeniesienie weryfikacji do SE - aczkolwiek na takie działanie niekoniecznie mogą zgodzić się banki (ponieważ w pewnym stopniu staną się one współodpowiedzialne za zabezpieczenie numerów PIN). Zdaniem przedstawiciela Zvelo, niektóre banki będą wołały raczej zgodzić się na ryzyko związane z istnieniem luki, niż na finansowe i operacyjne konsekwencje uczynienia ich współodpowiedzialnymi za bezpieczeństwo PIN-ów.

Firma Zvelo przygotowała pięć wskazówek dla użytkowników Google Wallet, chcących maksymalnie zabezpieczyć swoje urządzenia przed nowym atakiem:

1. Nie "rootuj" telefonu - po takiej operacji ryzyko ataku jest znacznie wyższe

2. Włącz blokadę ekranu (jakąkolwiek) i PIN w telefonie - będzie dodatkowo utrudniała nieautoryzowanemu użytkownikowi uzyskanie dostępu do Google Wallet

3. Wyłącz debugowanie USB. Jeśli jest włączone, możliwe jest pozyskanie danych z urządzenia bez podawania PIN (poprzez podłączenie go do komputera)

4. Włącz szyfrowanie pamięci w telefonie

5. Aktualizuj wszelkie oprogramowanie zainstalowane w telefonie - z systemem operacyjnym na czele.