Pesquisadores quebram PIN do Google Wallet

Quando pesquisadores revelaram no fim deste ano que o Google Wallet armazenava dados sensíveis do usuário em texto comum no dispositivo, também deram crédito ao aplicativo por sua proteção PIN. Mas ,agora, a última linha de defesa foi exposta por outro ehttps://itforum.com.br/wp-content/uploads/2018/07/shutterstock_528397474.webpso, que nesta semana lançou a prova de conceito e crackeou a PIN do produto.

Joshua Rubin, engenheiro sênior da Zvelo, postou na última semana sua prova de conceito (PoC) que demonstrava como crackear o PIN de 4 dígitos do Google Wallet usado para autorizar e processar pagamentos móveis. O PIN é considerado a camada extra de segurança não existente em um cartão de crédito, mas Rubin acabou com essa estratégia: “com esse ataque, o PIN é revelado nem nenhuma tentativa inválida. Isso negativa completamente toda a segurança de sistema de pagamento móvel”.

Em dezembro, pesquisadores da viaForensics descobriram que o app armazena localmente dados do pagamento do cartão em texto simples, como o nome do proprietário, datas de transações, endereços de e-mail e estrato bancário.

O aplicativo de pagamentos do Google permite que osconsumidores façam transações com cartões de crédito e uem cartões-presente em lojas por meio de seus celulares. Para executá-lo, o usuário precisa digitar a PIN de quatro dígitos.

Apesar de o aplicativo esconder o número completo do cartão, viaForensics descobriu que os últimos quatro dígitos ficam na database SQLite local em formato de texto simples. A mesma empresa também descobriu que Google Wallet repele ataques man-in-the-middle e, na época, deu crédito pelas transações serem conduzidas com a proteção da PIN.

Rubin, da Zvelo, postou detalhes do PoC, bem como um vídeo, no qual ele força aa PIN, com um long-integer mais um hash SHA256.

O aplicativo usa o Near Field Communication (NFC), com base na tecnologia RFID, que se comunica com o Secure Element (SE), armazenado em um chip no dispositivo. “É como o chip e o modelo PIN em cartões de créditos europeus”, afirmou Tyler Shields, pesquisador de segurança da Veracode.

Rubin afirma que o Google possui uma correção para o problema. “Eles têm correção já há um tempo. O código é alocado em um lugar que exige que applets no SE sejam atualizados… Mas não é utilizado”.

Isso porque não fica claro de onde partir, já que mover a verificação PIN para o SE significa ficar sob a alçada dos bancos, os quais seriam responsável pele segurança do PIN, da mesma forma que fazem com pagamentos de cartões. “Se trata de saber sob qual política ele se enquadra. Se estiver sob a alçada dos bancos, eles têm que aceitar o risco”, afirmou Rubin.

Então, qual é o risco para os usuários do Google Wallet? Apesar de Rubin ter hackeado um Android com root, smartphones nonrooted, ou desbloqueados, não são imunes ao ataque. “Tudo o que um invasor precisa é aceso ao dispositivo e então realizar o desbloqueio”.

Em um comunicado, o Google afirmou que realizar o desbloqueio do dispositivo é perigoso: “O estudo da Zvelo foi conduzido em um telefone com o mecanismo de segurança desabilitado. Até o momento, não há vulnerabilidades conhecidas que propiciem que alguém pegue o celular do consumidor e ganhe acesso root enquanto preserve qualquer informação do Wallet, como o PIN”.

“Pedimos a todos que não instalem o Google Wallet em dispositivos rooted e que sempre adicionem o bloqueio de tela como uma camada adicional de segurança”.

Rubin também tem algumas recomendações para os usuários se protegerem:

1. Não desbloqueie seu telefone. Isso ajuda os invasores.

 

2. Habilite bloqueio de tela, como desbloqueio por reconhecimento de face, padrão, PIN e senha, em vez de apenas desbloquear com o escorregar dos dedos.

 

3. Desabilite a USB.

 

4. Habilite codificação completo de disco

 

5. Mantenha o software atualizado e use somente o original.

Tradução: Alba Milena especial para o IT Web | Revisão: Adriele Marchesini