E’ allarme sicurezza per chi utilizza Google Wallet, il famoso servizio di Mountain View per la gestione dei pagamenti via smartphone: il software sarebbe infatti affetto da ben due diverse tipologie di vulnerabilità, in grado di mettere a rischio le informazioni utente correlato al servizio e il credito delle carte prepagate.
La prima falla, di recente portata alla luce dal famoso network Zvelo, è relativa ad una debolezza nella codifica delle informazioni utente (user ID, account Google e PIN): la loro registrazione all’interno di una stringa codificata SHA256 rende infatti i dati accessibili da terzi tramite un semplice attacco di brute force, una tipologia di attacco informatico piuttosto comune.
Da Google, è arrivata tuttavia una precisazione: l’attacco è possibile solamente se il dispositivo sotto mira risulta rootato; per proteggersi è bene inoltre abilitare il blocco dello schermo, disattivare il debug USB, attivare la crittografia completa del disco e tenere il proprio sistema sempre aggiornato.
Alle parziali riassicurazione da parte di Google è però seguita la scoperta di una nuova e forse ancora più macroscopica debolezza del software: è possibile infatti con poche semplici operazioni utilizzare le carte Google prepagate associate a qualsiasi smartphone di cui si è venuti in possesso.
La tecnica si rivela piuttosto semplice da eseguire: è sufficiente entrare nella pagina di configurazione di Android e utilizzare la voce “Cancella Dati” nel pannello delle applicazioni, in relazione a Google Wallet. A quel punto l’applicativo viene reimpostato e per accedervi è sufficiente inserire un nuovo PIN: tanto elementare quanto pericoloso.
Poiché le carte prepagate Google sono associate ad un singolo dispositivo e non ad un account Google, chiunque abbia effettuato l’operazione può riassociare le card precedentemente utilizzate con l’applicativo ed accedere al loro contenuto.
Google è al lavoro per il rilascio di un fix, ma dovrà scontare lo smacco per un intoppo che rischia di macchiare la reputazione del servizio e del nascente mercato dei pagamenti in mobilità.
