Een onderzoeker heeft uitgevonden dat Google’s betaaldienst met de naam Wallet zeer gevoelig is voor een bruteforce-aanval. In enkele seconden kan de PIN-protectie van een account worden verkregen, volgens de onderzoeker kan Google niks uitrichten om het probleem op te lossen.
De methode om de PIN-code te verkrijgen vereist overigens wel fysieke toegang tot het apparaat waarop de dienst wordt gebruikt. Als de aanval succesvol is afgerond kunnen gegevens als creditcardnummers en transactiehistorie worden uitgelezen. Google zou niets kunnen aanpassen om de kwetsbaarheid aan te passen, tenzij het bedrijf de banken zo ver krijgt om zichzelf verantwoordelijk te stellen voor de PIN-codes.
De onderzoekers vonden uit dat Google Wallet een hash van de PIN-code opslaat en waren op die manier in staat om de code te achterhalen. Om de code te verkrijgen moet de telefoon geroot zijn, of nog geroot worden. Omdat veel mensen hun telefoon zelf rooten is dit verontrustend, een applicatie die op de achtergrond draait zou buiten het zicht van de eigenaar op die manier de pincode kunnen ontfutselen en doorsturen naar een kwaadwillende.
Google Wallet is een betaaldienst welke gebruik maakt van Near Field Communications ofwel NFC. Met deze technologie is het mogelijk om op draadloze wijze te betalen. Het zou overigens niet mogelijk zijn om een betaalprocedure af te ronden middels deze aanval omdat deze actie nog van extra beveiliging is voorzien.
4 uur geleden
