Gli esperti di sicurezza facenti parte del pool di Zvelo, famoso network di controllo web, hanno scoperto una falla nel sistema di sicurezza di Google Wallet. Sviscerando a fondo l’applicazione, i ragazzi di Zvelo hanno infatti scoperto che tutte le informazioni dell’utente (user ID, account Google e PIN) vengono registrate all’interno di una stringa codificata a SHA256; decisamente un vero e proprio tesoro per i pirati informatici.
Infatti, è sufficiente un semplice attacco di brute force per riuscire ad accedere ad un qualsiasi account Google Wallet, senza troppi problemi. Il brute force è uno dei metodi di pirateria informatica più comune, il quale simula tutte le combinazioni possibili di PIN fino a quando non ha trovato quella corretta. Essendo il PIN di Wallet composto da soli 4 numeri, l’operazione di cracking non incontra molta difficoltà nel decodificare la chiave. Per dimostrare la vulnerabilità del sistema, i ricercatori di Zvelo hanno utilizzato uno strumento chiamato Google Wallet Cracker app.
Zvelo ha subito avvisato il responsabili della sicurezza Google, che però non hanno potuto porre subito rimedio alla situazione in quanto, per modificare la cifratura a 4 numeri è necessario trovare un accordo anche con i gestori del servizio sul fronte bancario. Zvelo avvisa gli utenti che, mentre Google prova a trovare una soluzione, è fondamentale non eseguire il root sul proprio device, abilitare un sistema di blocco a schermo, disattivare il debug USB, attivare la crittografia completa del disco e tenere aggiornato il proprio sistema operativo.
Anche Google ha rilasciato una piccola dichiarazione in merito, pur non menzionando se la società sia al lavoro o meno ad una possibile soluzione.
Lo studio di Zvelo è stato condotto su uno smartphone sul quale sono stati disattivati i meccanismi di sicurezza che proteggono Google Wallet dal rooting del device. Ad oggi, non vi è alcuna vulnerabilità che permette a qualcuno di prendere un telefono di un utente e ottenere un accesso root, conservando al contempo ogni informazioni di Wallet, come il PIN. Siete fortemente invitati a non installare Google Wallet su dispositivi rootati e di installare un blocco a schermo come ulteriore livello di sicureza.