Códigos PIN do Google Wallet sob ataque

24 fev 2012
Comunicados de Imprensa

Há algumas semanas, foram detectadas vulnerabilidades no Google Wallet, um sistema de pagamento móvel desenvolvido pela Google que permite aos seus utilizadores guardar os dados dos seus cartões de crédito, cartões de fidelização e cartões de presente, promoções de vendas, entre outras coisas, no seu telemóvel. O incidente de segurança afectava os cartões de pré-pagamento do serviço e a segurança do código PIN dos terminais.

Tim Armstrong, analista da Kaspersky Lab, conta como “a Zvelo encontrou a primeira vulnerabilidade no sistema, que requeria acesso root. Os métodos usados para fazer ‘rooting’ hoje em dia tornaram-se mais simples com o aparecimento das chamadas aplicações “one-click root” para a maioria das plataformas. O objectivo da vulnerabilidade era forçar a apresentação do PIN”.

No dia seguinte, foi descoberta uma nova vulnerabilidade na forma como a aplicação Wallet administra os dados da aplicação. Desta feita, a descoberta foi da Thesmartphonechamp, que demonstrou que neste caso não era obrigatório ter acesso root porque a vulnerabilidade está na forma como funciona a aplicação. O utilizador, munido de um cartão Google Prepaid, pode navegar pela interface de administração da aplicação e eliminar os dados da aplicação para o Google Wallet. Ao regressar à interface da aplicação, pede-se ao utilizador que escolha um novo PIN. A vulnerabilidade consiste em que os dados do Google Prepaid permanecem no sistema. Após definir um novo número PIN, o atacante pode utilizar o cartão pré-pago como se fosse seu.

Tim Armstrong acredita que, “sempre que os dados de um cartão de crédito são adicionados a determinada uma plataforma, o interesse dos cibercriminosos cresce de imediato. Já temos visto malware bancário para Android e, quando o Google Wallet se tornar omnipresente em todos os dispositivos Android, é muito provável que apareçam muitas mais ameaças deste tipo”.

Este poderá, por isso, ser apenas o princípio de uma onda de vulnerabilidades detectadas no Google Wallet, sobretudo tendo em conta o apoio financeiro que esta iniciativa recolheu de empresas como a Mastercard e a Citi, dois dos inúmeros parceiros que a Google conseguiu angariar para esta sua iniciativa.

Terão estes ataques aos números PIN a capacidade de acabar com o Google Wallet? Seguramente que não. Estamos agora a entrar numa fase de transição em que a caixa registradora passa da loja para o nosso bolso. E ainda que a tecnologia Secure Element ofereça muita segurança na codificação dos dados dos utilizadores, se a sua interface pode ser derrotada todos seus esforços matemáticos terão sido em vão.

Para aceder ao blog da Kaspersky, onde esta análise se encontra, aceda a: http://www.securelist.com/en/blog/208193389/Will_the_PIN_hacks_be_the_end_of_Google_Wallet.

Acerca da Kaspersky Lab:

Kaspersky Lab é a maior companhia antivírus da Europa. A Kaspersky Lab proporciona uma das protecções mais imediatas do mundo contra ameaças à segurança informática, incluindo vírus, spyware, crimeware, hackers, phishing e correio spam. A companhia está entre os quatro primeiros fabricantes mundiais de soluções de segurança informática para utilizadores finais. Os produtos e soluções da Kaspersky Lab proporcionam um dos tempos de resposta mais rápidos e níveis de detecção mais elevados da indústria, tanto para utilizadores particulares, pequenas e médias empresas e grandes corporações, como para ou ambiente informático móvel. A tecnologia da Kaspersky® também está incluída em produtos e serviços de outros criadores de soluções de segurança líderes da indústria informática. Leia mais na nossa página www.kaspersky.pt. Para conhecer as últimas novidades em antivírus, antispyware e outros aspectos e tendências em segurança informática, visite www.securelist.com.

© 1997 - 2014 Kaspersky Lab ZAO.

Todos os direitos reservados.