La sécurité des codes PIN de Google Wallet a été fissurée, mais il y a un inconvénient: cela ne pose actuellement un problème que si votre téléphone est enraciné. Pas enracinée? Pas de soucis. Et avec cela dit et fait, voici le deal:
Votre code confidentiel Google Wallet (numéro d'identification personnel) est stocké sous forme cryptée sur votre appareil. Une méthode de force brute a été découverte pour afficher les informations de code confidentiel SHA256 à code hexadécimal dans la base de données. Cette méthode, qui a été rendue publique de manière irresponsable, permet de retrouver le code PIN sans aucune tentative incorrecte dans l’application Wallet, ce qui annule la règle de cinq tentatives de l’application pour la saisie du code PIN. (Voir en action après la pause.)
Maintenant, voici la façon pas si sexy de tout décrire. Vous devez disposer d'un téléphone avec Google Wallet ET avoir enraciné votre appareil ET ne pas avoir défini d'écran de verrouillage sécurisé, puis perdre votre téléphone. La personne qui la trouve peut utiliser l’application que les membres de zvleo ont créée. Depuis, ils sont distribués pour forcer brutalement le code PIN et ALORS peuvent utiliser votre téléphone pour effectuer des paiements, tout comme ils pourraient le faire s’ils trouvaient votre carte de crédit. plus rapide et plus facile que tout cela.
Google a été informé et sait déjà comment résoudre le problème, mais il y a un problème. Pour le rendre plus sûr, Google devra déplacer les informations de code confidentiel afin que celles-ci soient contrôlées et gérées par votre banque. Cela nécessitera non seulement quelques modifications des conditions de service, mais nous comptons également sur les institutions bancaires pour assurer la sécurité de nos informations. Je parierais que les serveurs de Citigroup sont plus faciles à pénétrer que ceux de Google, et que vous avez le même problème à nouveau.
Un meilleur moyen de résoudre le problème serait de forcer les utilisateurs à utiliser un meilleur mot de passe. Les informations de code confidentiel peuvent être déchiffrées aussi facilement, car il n’utilise que quatre chiffres. Cela signifie qu'il n'y a que 10 000 combinaisons possibles, et même un ordinateur portable comme votre téléphone Android peut lancer ce type d'attaque par force brute. Remplacez le code par quelque chose comme Fgtr5400 & d77 - en utilisant une combinaison de lettres, de chiffres et de symboles - et il est beaucoup moins susceptible d’être brisé, et encore moins d’être utilisé car il n’est pas pratique. C'est un Catch-22 - un code PIN est facile à utiliser et à retenir, mais il est également plus facile à déchiffrer.
Je ne vais pas vous dire d'arrêter d'utiliser Google Wallet, ni d'arrêter d'enregistrer votre téléphone. Je vais vous dire de le récupérer et de mettre un code d'authentification sur l'écran de verrouillage maintenant, avant de le perdre.
Source: zvelo
Lien Youtube pour la visualisation mobile
