Un fallo permite revelar la contraseña de Google Wallet

Android Google Wallet root NFCUn fallo de seguridad en los teléfonos Android abiertos para conseguir privilegios de administrador (es decir, en los terminales ‘rooteados’) permite revelar la contraseña de Google Wallet, el servicio de pagos mediante NFC del buscador. Sin embargo, no afecta a los dispositivos que no han sido liberados.

El problema está en que el código PIN que se utiliza con esta herramienta se almacena (encriptado) en el propio teléfono, en lugar en el elemento seguro del NFC.

Por lo tanto, cualquier persona podría acceder al archivo encriptado si consigue el teléfono ‘rooteado’. Actualmente los únicos teléfonos que pueden utilizar Google Wallet son el Nexus S y el Samsung Galaxy Nexus (únicamente aquellos que tienen contrato con Sprint).

La compañía es consciente de este error, que le fue revelado por la firma de seguridad zvelo, pero, sin embargo, su solución supone cambiar la infraestructura de seguridad de Wallet.

En los dispositivos NFC, la información que ha de permanecer segura se almacena en lo que se conoce como Secure Element (SE). El acceso al SE está muy regulado, explican en zvelo. En el caso de Wallet, se necesita un código de 4 dígitos para iniciar la aplicación y si se introducen cinco contraseñas erróneas, Wallet se bloquea.

El problema está en que la aplicación almacena información, bajo el nombre de ‘metadatos’, que puede ser utilizada para descubrir el código PIN de Wallet.

Por ello, la compañía necesitaría trasladar la verificación del PIN al SE, algo para lo que necesita la aprobación de su fabricante. Además, hacer esto haría que los encargados de garantizar la seguridad del PIN fuesen los bancos, en lugar del buscador. Por lo tanto, actualmente la decisión han de tomarla las entidades bancarias.

Etiquetas ,

Contenidos Relacionados

Top