A Google Wallet PIN-kódjának biztonságát megtörték, de van egy figyelmeztetés - ez csak akkor jelent problémát, ha telefonja gyökerezik. Nem gyökerezik? Semmi gond. És miután elmondták és megtették, itt van az üzlet:
A Google Wallet PIN-kódját (személyes azonosító számát) titkosítva tárolja az eszközén, és egy brute-force módszer fedezte fel az SHA256 hexadeximális kódolású PIN-információt az adatbázisban. Ez a módszer, amelyet felelősségteljesen nyilvánosságra hoztak, a PIN-kódot helytelen kísérletek nélkül megtalálja a PIN-kód alkalmazásban, és érvényteleníti az alkalmazás öt próbálkozási szabályát a PIN-kód megadásához. (Lásd a szünet után.)
Most itt van a nem annyira szexi módja annak, hogy mindent leírjunk. Szüksége lesz egy telefonra a Google Wallet segítségével, ÉS gyökerezi a készüléket, ÉS még nem állított be biztonságos zár képernyőt, ÉS majd elveszíti telefonját. Az a személy, aki azt találja, használhatja azt az alkalmazást, amelyet a zvleo munkatársak készítettek, és mióta elosztották a PIN-kód kényszerítésére, majd a telefonját használhatja fizetésekhez, akárcsak, ha megtalálnák a hitelkártyádat, ami valószínűleg gyorsabb és könnyebb, mint bármelyik ilyen.
A Google értesítést kapott, és már tudja, hogyan kell kijavítani a problémát, de van egy probléma. A biztonságosabbá tétele érdekében a Google-nak át kell helyeznie a PIN-adatokat, hogy a bank ellenőrizze és karbantartsa azokat. Ehhez nemcsak a szolgáltatási feltételek néhány módosítását igényli, hanem a vállalati banki intézményekre támaszkodunk az információk biztonságának megőrzése érdekében. Fogadom, hogy a Citigroup szerverein sokkal könnyebb betörni, mint a Google szerverein, és akkor újra és újra ugyanaz a kérdés.
A probléma megoldásának jobb módja az lenne, ha a felhasználókat jobb jelszó használatára kényszerítenék. A PIN-kód információ olyan könnyű feltörni, mert csak négy számot használ. Ez azt jelenti, hogy csak 10 000 lehetséges kombináció létezik, és még egy olyan hordozható számítógép is, mint például az Android telefonja, képes elhárítani az ilyen fajta erőszakos támadást. Változtassa meg a jelszót Fgtr5400 és d77-hez hasonlóan - betűk, számok és szimbólumok kombinációjával -, és sokkal kevésbé valószínű, hogy megsérül, és még kevésbé valószínű, hogy még használni fogja, mert nem kényelmes. Ez egy Catch-22 - a PIN-kódot könnyű használni és megjegyezni, de egyszerűbb megtörni.
Nem fogom mondani, hogy hagyja abba a Google Wallet használatát, és azt sem mondom, hogy hagyja abba a telefon gyökérzetét. Meg fogom mondani, hogy vegye fel, és tegye el a jelszót a zár képernyőn, mielőtt elveszítené.
Forrás: zvelo
Youtube link a mobil megtekintéshez
