De pincode-beveiliging van Google Wallet is gekraakt, maar er is een voorbehoud - dit is momenteel alleen een probleem als uw telefoon is geroot. Niet geworteld? Maak je geen zorgen. En met dat gezegd en gedaan, hier is de deal:
Uw Google Wallet-pincode (persoonlijk identificatienummer) wordt versleuteld opgeslagen op uw apparaat en er is een brute-force methode gevonden om de SHA256 hex-gecodeerde pincode-informatie in de database zichtbaar te maken. Deze methode, die onverantwoordelijk voor het publiek is vrijgegeven, kan de pincode vinden zonder onjuiste pogingen in de Wallet-app zelf, waardoor de vijf-try-regel van de applicatie voor het invoeren van de pincode wordt ontkend. (Zie het na de pauze in actie.)
Hier is de niet zo sexy manier om het allemaal te beschrijven. U moet een telefoon met Google Wallet hebben, EN uw apparaat hebben geroot, EN geen beveiligd vergrendelscherm hebben ingesteld EN uw telefoon verliezen. De persoon die het vindt DAN kan de app gebruiken die de fellows bij zvleo hebben gemaakt en sindsdien gedistribueerd om de pincode bruut te forceren en DAN kan uw telefoon gebruiken om betalingen te doen, net zoals zij zouden kunnen als ze uw creditcard vonden, wat waarschijnlijk zou zijn sneller en eenvoudiger dan dit.
Google is op de hoogte gebracht en weet al hoe het probleem moet worden opgelost, maar er is een probleem. Om het veiliger te maken, moet Google de pincode verplaatsen om te worden beheerd en onderhouden door uw bank. Dit vereist niet alleen enkele wijzigingen in de servicevoorwaarden, maar we vertrouwen op zakelijke bankinstellingen om onze informatie veilig te houden. Ik zou willen wedden dat de servers van Citigroup gemakkelijker zijn in te breken dan die van Google, en dan heb je hetzelfde probleem opnieuw.
Een betere manier om het probleem op te lossen zou zijn om gebruikers te dwingen een beter wachtwoord te gebruiken. PIN-informatie kan zo gemakkelijk worden gekraakt omdat deze slechts vier cijfers gebruikt. Dit betekent dat er slechts 10.000 mogelijke combinaties zijn, en zelfs een draagbare computer zoals uw Android-telefoon kan dat soort brute-force aanvallen uitvoeren. Verander de toegangscode in iets als Fgtr5400 & d77 - met een combinatie van letters, cijfers en symbolen - en het is veel minder waarschijnlijk dat deze wordt gebroken, en zelfs minder waarschijnlijk dat het zelfs wordt gebruikt omdat het niet handig is. Het is een Catch-22 - een pincode is gemakkelijk te gebruiken en te onthouden, maar is ook gemakkelijker te kraken.
Ik ga je niet vertellen om te stoppen met het gebruik van Google Wallet, noch ga ik je vertellen dat je moet stoppen met het rooten van je telefoon. Ik ga je vertellen het op te pakken en nu een toegangscode op het vergrendelscherm te plaatsen, voordat je het verliest.
Bron: zvelo
YouTube-link voor mobiel bekijken
