2. Hírek
  3. Biztonság

Csúnya hibát vétett a Google a mobilfizetési rendszerében

Roppant nagy érdeklődés közepette indította el az év közepén a Google mobilfizetési szolgáltatását, a Google Walletnek (Google Pénztárca) elnevezett megoldást, mely a felhasználók számára lehetővé teszi, hogy okostelefonjukkal fizethessenek a szerződött üzletekben, vendéglőkben stb. Az Android operációs rendszer alá telepíthető ingyenes alkalmazás pilotja egyelőre néhány amerikai nagyvárosban működik, de a tervek szerint hamarosan megindul a globális terjeszkedés is.

A hardveres alapot az úgynevezett kis hatósugarú adatátvitel (Near-Field-Communication – NFC) alkalmazása adja, és emiatt is kulcskérdés a technológia biztonságossága. Úgy néz ki, hogy pont itt hibáztak nagyot a fejlesztők, legalábbis a viaForensics nevű biztonsági cég vizsgálata szerint, akik azt állítják, hogy a Wallet helyben, a készüléken titkosítatlanul tárol több érzékeny információt is (név, a tranzakció időpontja, e-mailcím, egyenleg stb.).

A teszt szerint több megfelelő védelmi mechanizmust is beépítettek a rendszerbe, a tesztelőknek nem sikerült támadóként behatolniuk, de, bár az alkalmazás például elrejti ugyan a kártyaszámot, az utolsó négy számjegyet plain text formában megőrzi a készüléken egy SQLite adatbázisban. A viaForensics vezetője szerint hiba, hogy a Google alábecsülte a titkosítatlanul tárolt adatok fontosságát, mivel megfelelő módszereket alkalmazva ezekkel is vissza lehet élni.

A Google szóvivője kitérően reagált a jelentésre, és azt emelte ki, hogy a biztonsági cég kiválónak minősítette a Wallet biztonsági megoldásait, vagyis hogy minden igazán fontos adat és tevékenység maximálisan védett. Kiemelte, hogy a viaForensics munkatársai egy rootolt telefont vizsgáltak, azaz a felhasználó jogait rendszergazdai jogokká emelték, így nem kaptak valós eredményt.

A viaForensics vezetője erre azt válaszolta, hogy a teljes körű vizsgálathoz szükséges volt a rootolás, és bár csak a felhasználók 10-15 százaléka használja így telefonját, ezt sem szabad figyelmen kívül hagyni, ráadásul léteznek olyan vírusok, amelyek távolról végzik el ugyanezt a műveletet, hogy hozzáférjenek a teljes rendszerhez.

Azóta történt

Előzmények