Descubiertos dos fallos de seguridad en Google Wallet para Android

Facebook Twitter Flipboard E-mail

Una de las cosas que siempre salían a la discusión cuando hablábamos de Google Wallet y los pagos por el móvil era la seguridad. Sólo nosotros deberíamos ser capaces de usarlo para pagar, y para eso Google Wallet implementaba un PIN que bloqueaba los pagos. El problema que se ha encontrado es que el PIN no es tan seguro como parecía.

El grupo de seguridad Zvelo ha encontrado dos fallos que permiten acceder a Google Wallet saltándose el PIN. Uno sólo afecta a terminales con root: ejecutando una aplicación con permisos de superusuario se puede extraer el PIN. El método es simple: el PIN se almacena cifrado en la memoria del teléfono. Como sólo hay cuatro cifras (10.000 posibilidades), la aplicación prueba todos los pins posibles hasta que uno de ellos coincide con el que está cifrado.

No afecta a demasiados usuarios porque son pocos los que tienen el terminal rooteado. Sin embargo, no inspira mucha confianza el hecho de que en unos segundos una aplicación pueda adivinar tu PIN, tal y como demuestran en el vídeo de arriba.

El otro fallo es más grave, porque es más fácil de explotar y no requiere root. Simplemente hay que borrar los datos de la aplicación desde el menú de ajustes. Así, cuando volvamos a abrir Google Wallet nos pedirá un nuevo PIN que podremos usar para desbloquear la tarjeta. Fácil, rápido y muy peligroso.

Google ha hecho unas declaraciones sobre las vulnerabilidades. Sobre la primera, han recomendado a los usuarios con el móvil rooteado que no instalen Wallet. Vale, muy bien, pero ¿qué ocurre si me alguien me roba el teléfono y lo rootea? La culpa no es mía: es de Google por no asegurar bien la aplicación.

En cuanto al otro fallo, lo que recomiendan es añadir más capas de protección al teléfono, como por ejemplo un patrón o un PIN para desbloquearlo. Vamos, que si nos cambian el PIN no es culpa de Google por no asegurarse de que esto no ocurra: es culpa nuestra por no ponerle un PIN.

Nuestro dinero no es una cosa que se pueda tomar a la ligera. Si Google Wallet tiene estos fallos y encima responden prácticamente desentendiéndose no me están animando lo más mínimo a usarlo para pagar. Desde mi punto de vista, Google debería tomarse más en serio este tema si quiere que los usuarios adoptemos Wallet.

Vía | Xataka Móvil
Más información | Zvelo

Comentarios cerrados
Inicio