Google Wallet, doppia vulnerabilità

di Tullio Matteo Fanti

Pubblicato 10 Febbraio 2012
Aggiornato 16:05

Google Wallet si è dimostrato doppiamente vulnerabile: le falle coinvolgono la codifica dei dati utente, accessibile tramite un semplice brute force e il contenuto delle card Google prepagate.

E’ allarme sicurezza per chi utilizza Google Wallet, il famoso servizio di Mountain View per la gestione dei pagamenti via smartphone: il software sarebbe infatti affetto da ben due diverse tipologie di vulnerabilità, in grado di mettere a rischio le informazioni utente correlato al servizio e il credito delle carte prepagate.

La prima falla, di recente portata alla luce dal famoso network Zvelo, è relativa ad una debolezza nella codifica delle informazioni utente (user ID, account Google e PIN): la loro registrazione all’interno di una stringa codificata SHA256 rende infatti i dati accessibili da terzi tramite un semplice attacco di brute force, una tipologia di attacco informatico piuttosto comune.

Da Google, è arrivata tuttavia una precisazione: l’attacco è possibile solamente se il dispositivo sotto mira risulta rootato; per proteggersi è bene inoltre abilitare il blocco dello schermo, disattivare il debug USB, attivare la crittografia completa del disco e tenere il proprio sistema sempre aggiornato.

Alle parziali riassicurazione da parte di Google è però seguita la scoperta di una nuova e forse ancora più macroscopica debolezza del software: è possibile infatti con poche semplici operazioni utilizzare le carte Google prepagate associate a qualsiasi smartphone di cui si è venuti in possesso.

La tecnica si rivela piuttosto semplice da eseguire: è sufficiente entrare nella pagina di configurazione di Android e utilizzare la voce “Cancella Dati” nel pannello delle applicazioni, in relazione a Google Wallet. A quel punto l’applicativo viene reimpostato e per accedervi è sufficiente inserire un nuovo PIN: tanto elementare quanto pericoloso.

Poiché le carte prepagate Google sono associate ad un singolo dispositivo e non ad un account Google, chiunque abbia effettuato l’operazione può riassociare le card precedentemente utilizzate con l’applicativo ed accedere al loro contenuto.

Google è al lavoro per il rilascio di un fix, ma dovrà scontare lo smacco per un intoppo che rischia di macchiare la reputazione del servizio e del nascente mercato dei pagamenti in mobilità.