Falha encontrada no Google Wallet obriga empresa a desabilitar recursos
Para utilizar cartão pré-pago vinculado à conta, invasor só precisava ter acesso físico ao smartphone e zerar as configurações do aplicativo.
A Google desabilitou os cartões pré-pagos vinculados à sua ferramenta de pagamento móvel, o Google Wallet, após uma grave falha de segurança ter sido descoberta. A decisão foi tomada no último sábado (11/02).
A vulnerabilidade permite que um usuário não autorizado altere a senha do aplicativo e passe a utilizá-lo a partir da conta da vítima. Para isso, bastaria acessar as opções do programa e solicitar sua reconfiguração.
“A medida serve como uma precaução até liberarmos uma correção permanente”, afirmou o vice-presidente do Google Wallet, Osama Bedler, via blog oficial.
O problema surge apenas um dia depois da identificação de outra brecha, revelada pela companhia de segurança Zvelo. Ela descobriu que o PIN do software não era armazenado em uma parte segura do smarthpone – tornando-o praticamente inacessível – mas em um banco de dados protegido pelo Android. Caso o celular tenha sido “rookteado”, isso é, modificado para que o usuário ganhe mais liberdade sobre o sistema, um cracker conseguiria atacar o dispositivo e capturar o código exigido para entrar na conta.
A nova brecha, porém, é ainda mais crítica – é descrita pelo blog The Smartphone Champ, que a publicou, como “extremamente fácil de explorar”. Não requer um software especial, tampouco que o dispositivo da vítima esteja com root. A questão é que os dados de cartão de crédito estão ligados ao aparelho, não à conta Google de uma pessoa. Assim, qualquer pessoa com um telefone Google Wallet pode alterar o PIN do serviço, entrando no menu de configurações do aplicativo e limpando os dados. Uma vez feito isso, o Google Wallet aplicativo irá solicitar uma nova senha.
Há atenuantes, porém. Para invadir a conta, é preciso ter acesso físico ao aparelho, e se o celular estiver bloqueado com algum código, necessário para tirá-lo da tela de espera, o cibercriminoso poderá fazer nada – muitos usuários, no entanto, não habilitam tal opção. Além disso, a vulnerabilidade está no software, não no padrão NFC (comunicação de por proximidade), e desta forma, além de ser facilmente corrigida, não coloca o sistema adota em dúvida.
“O Google Wallet ainda é significativamente mais seguro do que o cartão de crédito que você utiliza hoje, mesmo com essas vulnerabilidades sendo descobertas”, afirmou Joshua Rubin, pesquisador da Zvelo, à PC World americana.
Assine nosso Feed!
- Brasileiros querem medidas de segurança nas Olimpíadas e a Copa do Mundo
- Check Point Software eleva lucro trimestreal em 18%
- ‘Vírus benéficos’ são aliados da consumerização. Saiba o que são
- Nova lei de cibersegurança poderia acabar com a nuvem
- Ameaças de malwares e spams caem, mas ataques virtuais aumentam 81%, indica estudo
Redes Sociais