В системе мобильных бесконтактных платежей Google Wallet обнаружена уязвимость, которую могут использовать злоумышленники. Об этом сообщается на сайте компании Zvelo, работающей в сфере информационной безопасности. Аналитики Zvelo выяснили, что четырехзначный пин-код, который необходимо вводить в системе Google Wallet для оплаты товаров и услуг, сохраняется в памяти смартфона в зашифрованном виде. В случае, если злоумышленник завладеет смартфоном и получит root-доступ к операционной системе Android, то, методом перебора вариантов он может узнать пароль. По отзыву экспертов, для профессионального взломщика это не слишком сложная задача, на решение которой много времени не потребуется. «Зная, что пин-код состоит из четырех цифр, зашифрованных по алгоритму SHA256, потребуется перебрать не более 10 тысяч хэшей. Это не сложно даже на столь ограниченном (по сравнению с компьютером) устройстве как смартфон», — считают специалисты Zvelo.
Как сообщает ресурс Engadged, в Google со вниманием отнеслись к сообщению об этой уязвимости, однако исправить ее можно только на уровне банков-партнеров, которые работают с Google Wallet. При этом Google подчеркивает, что опасности подвергаются только смартфоны, пользователи которых установили для себя root-права (права администратора системы). Недостаточно опытным пользователям этого лучше не делать, ну а если «рут» получен, Google рекомендует использовать дополнительные пароли и системы блокировки для защиты смартфона. Система бесконтактных платежей для смартфонов Google Wallet («Google кошелек») была запущена в США в сентябре прошлого года в сети американского сотового оператора Sprint Nextel. Помимо Google и Sprint, партнерами проекта стали Citigroup, платежная система MasterCard и компания First Data, занимающаяся обработкой операций по кредитным картам. Google также налаживает сотрудничество с платежными системами Visa, American Express и Discover. В основе сервиса Google лежит технология Near Field Communication (NFC), позволяющая организовать передачу данных между устройствами на малых расстояниях (несколько сантиметров). Чтобы расплатиться за покупку, нужно поднести смартфон к специальному модулю, расположенному в точке продаж, который «считает» информацию. Такая схема не предполагает участия кассира, что может существенно упростить и ускорить процесс покупок. В настоящее время единственный смартфон, который может служить «кошельком» Google, является Samsung Nexus S 4G c контрактом оператора Sprint, поэтому говорить о массовой угрозе для пользователей пока рано. Тем не менее, вопросам защищенности платежей, совершаемых при помощи мобильных телефонов, уделяется повышенное внимание уже на протяжении нескольких лет. Проблема давно идентифицирована поставщиками смартфонов и платежных услуг, рассказал BFM.ru эксперт информационно-аналитического агентства MForum.ru Алексей Бойко. По его словам, с самого начала работы над NFC, технологию старались сделать максимально защищенной. «Этим занимались не дилетанты, не школьники, не случайные люди. Стандарт NFC для защиты информации использует обширные наработки криптографии, а также другие технологии», — рассказал Бойко. О каких бы деньгах ни шла речь — будь то золотые монеты, бумажные знаки или электронные платежи, — всегда есть риск их лишиться. «Как бы ни менялись платежные средства, надо четко осознавать, что потенциально вы можете расстаться с вашими деньгами, в том числе из-за чьих-то злонамеренных действий и технологических уязвимостей. Чем более мощными и сложными становятся системы защиты, тем более изощренные появляются способы взлома», — говорит Бойко. Эксперт уверен, что 100-процентной гарантии не может дать ни одна система защиты. «Уязвимости будут находиться, их будут оперативно латать. Риск, пусть и небольшой, всегда существует. Какой-то процент пользователей может потерять деньги — так случается и с банковскими картами, и с мобильными платежами. NFC как технология не обещает существенно более высокого уровня защищенности, нежели иные способы электронных платежей», — пояснил Алексей Бойко. Один из очевидных способов защиты, который используется в мобильных платежах — ограничение суммы, которую можно потратить. В случае мошеннической операции владелец телефона может потерять какую-то часть средств, но она не будет слишком большой. В конечном итоге технология получит широкое распространение. «Удобства, которые принесет NFC, превысят в глазах потребителей риски», — уверен Алексей Бойко. По прогнозу Juniper Research, к 2014 году 20% смартфонов во всем мире будут оборудованы NFC. Сейчас чипами NFC оснащены лишь некоторые модели смартфонов Nokia, Samsung и BlackBerry. Ожидается, что в конце февраля на выставке в Барселоне крупнейшие производители мобильных телефонов представят новые модели с поддержкой технологии бесконтактных платежей.
Источник: bfm
|