Google Wallets PIN-sikkerhed er blevet brudt, men der er en advarsel - dette er i øjeblikket kun et problem, hvis din telefon er rodfæstet. Ikke rodfæstet? Ingen problemer. Og med det sagt og gjort, her er handlen:
Din Google Wallet-PIN-kode (Personal Identification Number) gemmes krypteret på din enhed, og en brute-force-metode blev fundet for at eksponere SHA256-hex-kodet PIN-information i databasen. Denne metode, der uansvarligt blev frigivet til offentligheden, kan finde PIN-koden uden forkerte forsøg i selve Wallet-appen, idet den bortfalder den fem-tryk-regel, som applikationen har til PIN-kodeindtastning. (Se det i aktion efter pausen.)
Her er den ikke så sexede måde at beskrive det hele på. Du skal have en telefon med Google Wallet, OG har rodfæstet din enhed, OG har ikke indstillet en sikker låseskærm, OG derefter miste din telefon. Den person, der finder det DET, kan bruge den app, som stipendiaterne hos zvleo har foretaget, og siden distribueret til brute-force PIN-koden, og DETNU kan bruge din telefon til at foretage betalinger, ligesom de kunne, hvis de fandt dit kreditkort, hvilket sandsynligvis ville være hurtigere og lettere end noget af dette.
Google er blevet underrettet og ved allerede, hvordan man løser problemet, men der er et problem. For at gøre det mere sikkert bliver Google nødt til at flytte PIN-oplysningerne, der skal kontrolleres og vedligeholdes af din bank. Dette kræver ikke kun nogle ændringer i servicevilkårene, men vi er afhængige af, at forretningsbankinstitutioner holder vores oplysninger sikre. Jeg vil satse på, at Citigroups servere er lettere at bryde ind end Googles, og så har du det samme problem igen.
En bedre måde at løse problemet på ville være at tvinge brugerne til at bruge en bedre adgangskode. PIN-oplysninger kan knækkes så let, fordi de kun bruger fire numre. Dette betyder, at der kun er 10.000 mulige kombinationer, og endda en bærbar computer som din Android-telefon kan trække den slags brute-force-angreb ud. Skift adgangskoden til noget som Fgtr5400 & d77 - ved hjælp af en kombination af bogstaver, tal og symboler - og det er langt mindre sandsynligt, at det bliver ødelagt og endda mindre sandsynligt, at det endda bliver brugt, fordi det ikke er praktisk. Det er en Catch-22 - en pinkode er nem at bruge og huske, men den er også lettere at knække.
Jeg vil ikke bede dig om at stoppe med at bruge Google Wallet, og jeg vil heller ikke bede dig om at stoppe med at rodfeste din telefon. Jeg vil bede dig om at hente den og sætte en adgangskode på låseskærmen nu, inden du mister den.
Kilde: zvelo
Youtube-link til mobilvisning
