szerző:
hvg.hu
Tetszett a cikk?

A Google Wallet alkalmazás újabb súlyos sérülékenységére derült fény, ami a Google feltöltőkártyás ügyfeleinek virtuális pénztárcáját igencsak érzékenyen érintheti.

A Google fejlesztőinek egy súlyos sebezhetőséget kell megszüntetniük a Google Wallet alkalmazásban, ugyanis az bizonyos körülmények között jelentősen megkönnyítheti a tolvajok, csalók számára a károkozást. A hibára először a Smartphone Champ blogja hívta fel a figyelmet, amikor közölte, hogy azon eltulajdonított vagy ellopott androidos készülékek, amelyeken engedélyezve volt a Google Wallet és aktív egy Google Prepaid Card (feltöltőkártya), a tolvajok egyszerűen ki tudják játszani a PIN-kódos védelmet, majd a saját céljaikra használhatják fel a kártyán lévő összeget - írja a Computerworld.

Megkerülős csel

A Smartphone Champ egyik bloggere, Hashim arra lett figyelmes, hogy a Google Wallet nem kapcsolja össze megfelelően a feltöltőkártyát, illetve a hozzá tartozó egyenleget a felhasználó Google fiókjával, és leginkább lokális ellenőrzésekre hagyatkozik. Hashim szerint, ha egy tolvaj kezébe kerül egy androidos készülék, akkor azon ki tudja törölni a Google Wallet beállításait, majd az alkalmazás újbóli inicializálását, és egy új PIN-kód megadását követően a telefonhoz eredetileg tartozó Prepaid Card gond nélkül hozzáadhatóvá válhat a szoftverhez. Ezt követően pedig a készülék eredeti tulajdonosának kártyával lehet fizetni. „A Google Prepaid számlát nem kapcsolták össze a Google fiókkal, hanem azt csak a készülékekhez illesztették hozzá. Nem tudom, hogy miért ezt az utat választotta a Google, de ez egy elég nagy biztonsági rés" - mondta Hashim.

©

A Google tulajdonképpen már elismerte a sérülékenység létezését, és jelezte, hogy dolgozik a probléma megoldásán. A jelenlegi elképzelések szerint egy automatikusan települő, felhasználó beavatkozást nem igénylő frissítés fog elérhetővé válni a Wallethez. A Google minden feltöltőkártyás ügyfelének azt javasolta, hogy ha elvész az okostelefonja vagy el akarja adni a készülékét, ezt azonnal jelezze, hogy a kártya, illetve a fiók letiltása időben megtörténhessen.

Rájár a rúd a Walletre

A fenti sebezhetőség nyilvánosságra kerülését megelőző napokban a Google Wallet másik biztonsági réséről is érkezett hír. Ez a sérülékenység a PIN-kódok visszafejtését segíti. A Zvelo által kidolgozott hackelési technika alapjaiban véve egyszerű brute force-ra épül, és azt használja ki, hogy a Google a PIN-kódokat - SHA-256 hash-elést követően - tárolja a készülékeken. Mivel a PIN-kódok négy karakterből állnak, ezért nem kell túl sokat találgatni a megfejtésükhöz. De, hogy még gyorsabb legyen a folyamat, Joshua Rubin, a Zvelo mérnöke kifejlesztett egy olyan, Wallet Cracker nevű alkalmazást, amely képes kiolvasni a PIN hash értékét, és előre tárolt értékekkel való összehasonlítást követően gyorsan visszafejteni. (Az alkalmazás működéséhez szükség van a készülékek rootolására.)

A Google a Zvelo-féle biztonsági problémát is vizsgálja, de egyelőre csak annyit közölt, hogy rootolt készülékeken nem ajánlja a Wallet alkalmazás használatát.

VELETEK VAGYUNK – OLVASÓKKAL, ÚJSÁGÍRÓKKAL!

A hatalomtól független szerkesztőségek száma folyamatosan csökken, a még létezők pedig napról napra erősödő ellenszélben próbálnak talpon maradni. A HVG-ben kitartunk, nem engedünk a nyomásnak, és minden nap elhozzuk a hazai és nemzetközi híreket.

Ezért kérünk titeket, olvasóinkat, hogy tartsatok ki mellettünk, támogassatok bennünket, csatlakozzatok pártolói tagságunkhoz, illetve újítsátok meg azt!

Mi pedig azt ígérjük, hogy továbbra is minden körülmények között a tőlünk telhető legtöbbet nyújtjuk a számotokra!
hvg.hu Tech

Zöld utat kap a Google-Motorola üzlet

Az európai hatóságok jóváhagyták a Motorola Mobility tervezett felvásárlását. Hamarosan zöld utat kaphat a kereső az Egyesült Államokban is.

hvg.hu Tech

Mégis lehet becenevet használni a Google Pluszon

Hosszú hónapokig száműzték a nem valós neveket, mostantól mégis engedélyezi a Google, hogy a felhasználói beceneveket, álneveket használjanak. Igaz, csak az ellenőrzött alteregókat látják szívesen a közösségi oldalon, azaz kivizsgálja a konszern, ki áll a becenév mögött.

Niklasson Katalin Tech

Ezért változnak a Google adatvédelmi irányelvei

A Google képes lesz emlékeztetőt küldeni, ha egy felhasználója a tartózkodási helye alapján nagy eséllyel elkésik egy a naptárjában megadott találkozóról az aznapi forgalmi viszonyokat figyelembe véve - ezt kapják például a felhasználók az új adatvédelmi irányelvekkel. És azt is, hogy a Google a különböző platformokon megadott adatokat (egészség, a politikai vélemény, pénzügyek) is rendszerezi és használja. Minél pontosabb a felhasználó profilja, annál pontosabban lehet reklámokat személyre szabni – ami jelentősen növeli a Google bevételeit.

MTI Tech

"Frusztráló", "ijesztő": még több infót gyűjt rólunk a Google

Új adatvédelmi szabályozást jelentett be a Google vállalat, aminek keretében nyomon fogja követni felhasználóinak tevékenységét szinte valamennyi felületen, beleértve a YouTube videómegosztót, a Gmail levelezőprogramot és a vezető keresőoldalakat - adta hírül a The Washington Post.

hvg.hu Tech

Újraturbózott Google: a fiúk az adatbányában dolgoznak

Bő két hét múlva érvénybe lépnek a Google új adatvédelmi irányelvei és általános szerződési feltételei. Eddig is volt aggodalom a cég adatgyűjtési gyakorlata miatt, de az új rendszert egyre többen tartják kifejezetten aggályosnak, mert a Google túl sok információhoz juthat rólunk, s ezek tárolására, felhasználására vagy továbbadására semmiféle hatással nem lehetünk. Tekintsünk bele a googleizmusba!

Koronavírus: 38 beteg meghalt, 989 ember megfertőződött Magyarországon

Koronavírus: 38 beteg meghalt, 989 ember megfertőződött Magyarországon

Több száz dolgozóját elbocsátja a Finnair

Több száz dolgozóját elbocsátja a Finnair

Hogyhogy hétfő délelőtt dolgozunk a leghatékonyabban?

Hogyhogy hétfő délelőtt dolgozunk a leghatékonyabban?