Платежная система от Google является одной из наиболее молодых — и понятно, что этот «свежий» сервис еще нужно приглаживать и исправлять найденные недоработки. На днях эксперты из Zvelo Labs в лице Джошуа Рубина опубликовали информацию о найденной критической уязвимости Google Wallet. Команда из Zvelo Labs не только нашли уязвимость, но и написали специальное ПО для эксплуатации этой «дыры». ПО под Google Wallet позволяет быстро узнавать PIN-код владельца аккаунта этой платежной системы.Правда, для этого требуется физический доступ к мобильному устройству с установленным приложением платежной системы. Однако это не такая уж и проблема — при необходимости злоумышленники могут без труда вычислять тех владельцев мобильных устройств, у которых есть мобильное устройство с Google Wallet, и красть эти девайсы. «Мастеров», которые все это могут провернуть, хватает. Да и потерянные телефоны тоже могут служить источником дохода для злоумышленника.
Сейчас эксперт из Zvelo Labs говорит, что разработчики в Google уже проинформированы об этой уязвимости, и стараются как можно быстрее закрыть дыру. Джошуа Рубин, который обнаружил уязвимость, говорит, что написанное им приложение позволяет без труда узнать PIN пользователя платежной системы, уже со второй попытки (всего на правильный ввод PIN дается пять попыток). Хорошо уже то, что удаленно узнать PIN не получится, нужен только физический доступ к устройству, как уже говорилось выше.
Интересно, что недавно была опубликована информация об еще одной уязвимости, которая позволяла получить доступ к wallet путем очистки данных с телефона. В итоге обманутая программа делает «первый запуск», в начальной конфигурации. Все это позволяет злоумышленнику без труда использовать Google Wallet на чужом телефоне.
Ниже можно видеть демонстрацию принципа работы второй уязвимости.
Via h-online + economictimes