Google Wallet je na Androidech s rootem snadno napadnutelný

Androidí peněženka Google Wallet má problém – čtyřmístný pin lze prolomit klasickým útokem typu brute-force směřovaným na kontrolní součet pinu. V praxi si to vyzkoušeli bezpečnostní analytici z webu zvelo.com.

Platební systém od Googlu postavený na NFC se skládá ze dvou částí. Ze vcelku běžné aplikace Wallet a ze samotného NFC systému, který obsahuje část zvanou Secure Element. SE je něco podobného jako SIM Toolkit na telefonní kartě. Je to oddělený systém od běžného života Androidu, ke kterému mohou přistupovat pouze výrobcem podepsané programy. Secure Element v sobě obsahuje informaci o platební kartě.

Secure Element je zabezpečený a útočník by se k němu neměl dostat. Lidé z webu Zvelo se ovšem podívali na zoubek aplikaci Wallet. To je už běžný správce napsaný v Javě, do kterého se dostanete po zadání čtyřmístného pinu.

Na další bezpečnostní chybu Google Wallet upozorňuje článek na Dotekománii

Aplikace si ukládá kontrolní součet pinu do SQLite databáze ve své vnitřní paměti. Za běžných okolností se k ní tedy cizí program nedostane, protože je Android dostatečně sandboxovaný – vzájemně izolovaný. To se vše ale změní v okamžiku, kdy telefon rootnete. Pak můžë libovolná aplikace získat přístup do kompletního linuxového systému a to včetně souborů cizích programů.

Porovnávací kontrolní součet se generuje ze čtyřmístného čísla, útočník má tedy po ruce nějakých 10 000 kombinací. Pokud vám někdo rootnutý telefon s aktivním Wallet ukradne, pin prolomí poměrně rychle a tím pádem získá skrze Wallet přístup i k vaší platební kartě.

Nás to zatím trápit nemusí, NFC platby se tu totiž teprve rozjíždějí a Google zde Wallet nenabízí, nicméně je to i doklad toho, že root je sice dobrý služebník, ovšem docela komplikovaný pán. Práva k telefonu totiž nemusíte získat pouze vy jako majitel zařízení, ale i nějaká mnohem zákeřnější aplikace.

Témata článku: Google, Android, Bezpečnost

23 komentářů

Nejnovější komentáře

  • Mahoner 14. 2. 2012 6:19:02
    jak zde bylo napsáno, android je vzkutku nejhůř zabezpečený systém včetně...
  • uiqjirka 12. 2. 2012 16:12:04
    Google je bohuzel deravy i bez rootu,to co predvadel doposud s temer...
  • kubik88 11. 2. 2012 8:10:19
    Mně jako 9. třída, vlastně možná ještě níže, přijde někdo, kdo napíše lol...
Určitě si přečtěte

Sony Xperia XZ Premium: 4K displej a tisíckrát zpomalené video [MWC]

Sony Xperia XZ Premium: 4K displej a tisíckrát zpomalené video [MWC]

** Sony zůstává jediným výrobcem, který nabízí telefon se 4K displejem ** Novinka zvládne slow-motion video ve snímkovací frekvenci 960 fps ** Nejnovější model nabídne procesor Qualcomm Snapdragon 835

Dnes | Měchura Milan | 16

BlackBerry KEYone: když chcete bezpečný Android s klávesnicí [MWC]

BlackBerry KEYone: když chcete bezpečný Android s klávesnicí [MWC]

** BlackBerry KEYone je samozvaná vlajková loď s QWERTY klávesnicí ** Návrh a bezpečnostní řešení zajistilo BlackBerry, výrobu pak TCL** Na trh půjde v dubnu s hodně sebevědomou cenovkou

25.  2.  2017 | Miksa Martin | 85

LG X Power 2: Největší baterie, jakou kdy LG dalo do mobilu

LG X Power 2: Největší baterie, jakou kdy LG dalo do mobilu

** Kapacita baterie dosahuje 4 500 mAh ** Telefon běží na nejnovějším Androidu 7.0 Nougat ** Čelní i zadní fotoaparát mají LED blesk

24.  2.  2017 | Měchura Milan | 8

Honor V9: Atraktivní barvy, skvělý design a masivní baterie

Honor V9: Atraktivní barvy, skvělý design a masivní baterie

** Je osazen duální fotoaparátem ** Ukrývá stejný procesor, který využívá i Huawei Mate 9 ** Na evropském trhu by se měl prodávat jako Honor 8 Pro

23.  2.  2017 | Měchura Milan | 11

Xiaomi Redmi 4A: osvědčený recept na úspěch [recenze]

Xiaomi Redmi 4A: osvědčený recept na úspěch [recenze]

** Na rozdíl od klasické verze nemá čtečku otisků prstů ** Jeho obal je sice věrnou imitací kovu, ale ve skutečnosti je plastu ** Grafická nadstavba MIUI 8 nabízí užitečné aplikace a funkce **

23.  2.  2017 | Měchura Milan | 23