Una de las cosas que siempre salían a la discusión cuando hablábamos de Google Wallet y los pagos por el móvil era la seguridad. Sólo nosotros deberíamos ser capaces de usarlo para pagar, y para eso Google Wallet implementaba un PIN que bloqueaba los pagos. El problema que se ha encontrado es que el PIN no es tan seguro como parecía.
El grupo de seguridad Zvelo ha encontrado dos fallos que permiten acceder a Google Wallet saltándose el PIN. Uno sólo afecta a terminales con root: ejecutando una aplicación con permisos de superusuario se puede extraer el PIN. El método es simple: el PIN se almacena cifrado en la memoria del teléfono. Como sólo hay cuatro cifras (10.000 posibilidades), la aplicación prueba todos los pins posibles hasta que uno de ellos coincide con el que está cifrado.
No afecta a demasiados usuarios porque son pocos los que tienen el terminal rooteado. Sin embargo, no inspira mucha confianza el hecho de que en unos segundos una aplicación pueda adivinar tu PIN, tal y como demuestran en el vídeo de arriba.
El otro fallo es más grave, porque es más fácil de explotar y no requiere root. Simplemente hay que borrar los datos de la aplicación desde el menú de ajustes. Así, cuando volvamos a abrir Google Wallet nos pedirá un nuevo PIN que podremos usar para desbloquear la tarjeta. Fácil, rápido y muy peligroso.
Google ha hecho unas declaraciones sobre las vulnerabilidades. Sobre la primera, han recomendado a los usuarios con el móvil rooteado que no instalen Wallet. Vale, muy bien, pero ¿qué ocurre si me alguien me roba el teléfono y lo rootea? La culpa no es mía: es de Google por no asegurar bien la aplicación.
En cuanto al otro fallo, lo que recomiendan es añadir más capas de protección al teléfono, como por ejemplo un patrón o un PIN para desbloquearlo. Vamos, que si nos cambian el PIN no es culpa de Google por no asegurarse de que esto no ocurra: es culpa nuestra por no ponerle un PIN.
Nuestro dinero no es una cosa que se pueda tomar a la ligera. Si Google Wallet tiene estos fallos y encima responden prácticamente desentendiéndose no me están animando lo más mínimo a usarlo para pagar. Desde mi punto de vista, Google debería tomarse más en serio este tema si quiere que los usuarios adoptemos Wallet.
Vía | Xataka Móvil
Más información | Zvelo
Ver 13 comentarios
13 comentarios
Escapology
El del acceso a Root supongo que lo podrán arreglar haciendo que cuando el móvil sea Root se desactive y borre todos los datos de Googlw Wallet. Creo que siempre que rooteas un móvil tienes que reiniciarlo, con lo que cada vez que enciendes el móvil podía comprobarlo.
En el segundo fallo de borrar los datos, también se borran las tarjetas, pero si quieres añadir una tarjeta de Google parece que te la pilla ya de tu cuenta y no te pide la contraseña de tu cuenta al estar ya identificado en Gmail, Android Market, Maps y cía. Aquí la solución es sencilla, que te pida siempre la contraseña de tu cuenta de Google.
Seguramente Google corrija estos fallos, ya que le interesa que su sistema de pago sea más seguro que las tarjetas físicas PayPass, las cuales si no me equivoco, ni piden PIN ni en las tiendas te piden identificarte. Vamos, que si te encuentras una tarjeta PayPass en el suelo ni la tienes que Rootear ni borrar sus datos.
darkyevon
Lo suyo es poner un limite de 3 intentos, que la contraseña almacenada esté hasheada, y además que para hacer transferencias o comprar se pida mas datos a parte de esa contraseña ridícula, tipo lo que se hace en los bancos. Que se permita ejecutar todas las posibilidades sin limite de intentos, sea el motivo que sea, es un fallo de los gordos.
gerardocarmona
es increible que un programa de google para este tipo de propositos, tenga unos fallos tan garrafales como estos