Google Wallet, il sistema che consente di utilizzare gli smartphone al posto delle carte di credito al fine di velocizzare i pagamenti, rischia di mettere seriamente a rischio i dati degli utenti. La falla è stata evidenziata dai ricercatori per la sicurezza di Zvelo, network attivo nel monitoraggio del Web, i quali hanno spiegato che potrebbe essere relativamente facile per un criminale informatico accedere alla stringa contenente tutte le informazioni sensibili come user ID, dati account e perfino il PIN utilizzato per i pagamenti.
Tali dati vengono infatti memorizzati all’interno della stringa codificata SHA256, la quale può essere facilmente violata tramite un attacco cosiddetto “brute force“, cioè un tipo di attacco che provvede a simulare tutte le combinazioni numeriche possibili senza soluzione di continuità fino ad individuare il PIN di accesso corretto e avere via libera per mettere le mani sulle informazioni.
I ricercatori di Zvelo hanno precisato di aver impiegato per lo scopo uno strumento chiamato Google Wallet Cracker app, il quale sfrutta appieno la vulnerabilità anche in ragione del fatto che il PIN di Google Wallet è composto da sole quattro cifre, cosa che diminuisce in maniera sensibile il numero di combinazioni possibili rendendo la vita relativamente facile a chi utilizza un attacco a forza bruta.
Google, che è stata immediatamente informata della vulnerabilità, ha diramato un comunicato che tenta di evitare allarmismi nel quale si afferma che:
Lo studio di Zvelo è stato condotto su uno smartphone sul quale sono stati disattivati i meccanismi di sicurezza che proteggono Google Wallet dal rooting del device. Ad oggi, non vi è alcuna vulnerabilità che permette a qualcuno di prendere un telefono di un utente e ottenere un accesso root, conservando al contempo ogni informazioni di Wallet, come il PIN. Siete fortemente invitati a non installare Google Wallet su dispositivi rootati e di installare un blocco a schermo come ulteriore livello di sicurezza.
Allo stesso tempo, nell’attesa che da Mountain View pongano rimedio alla falla, Zvelo consiglia agli utenti di non eseguire il root sul proprio smartphone, di abilitare un sistema di blocco a schermo, di disattivare il debug USB, di aggiornare il sistema operativo e di attivare la crittografia completa del disco.