Хакер #305. Многошаговые SQL-инъекции
"Значительное" количество незашифрованных данных ставит телефоны с Android в
рискованное положение, говорят исследователи.
Самое долгожданное мобильное платежное приложение от Google для расчетов в
местных магазинах хранит некоторую секретную информацию о пользователях в
нешифрованном виде, например, имена пользователей, даты транзакций, адреса
электронной почты, а также, остаток на счете покупателей, говорится в
исследовании, опубликованном сегодня.
Исследователи из viaForensics
протестировали безопасность
Google Wallet —
систему, позволяющую потребителям совершать сделки по кредитным картам, выкупать
подарочные сертификаты и использовать карты лояльного членства в магазинах со
своих телефонов — во взломанных смартфонах Android и обнаружили, что приложение
передает конфиденциальную информацию в незашифрованном виде. Хотя Google Wallet
скрывает полный номер счета кредитной карты, последние четыре цифры хранятся в
текстовом формате в локальной базе данных приложения - SQLite.
Хорошей новостью, утверждают в viaForensics, является то, что приложение
успешно противостоит атакам типа "человек посередине", и защищено PIN-кодом при
операциях с картами.
Но SQLite базы данных приложения, постоянно находящиеся в телефонах Android,
содержат информацию о балансе кредитной карты, лимите, сроке действия, имени
владельца, дате и месте транзакции — эта информация, по словам viaForensics,
может быть использована, например, для социального инжиниринга против
фактического владельца счета.
"Они недооценили важность данных, потеря которых не обрадует потребителей", -
говорит Эндрю Хуг, IT-директор viaForensics. "Меня не устраивает, что кто-то
будет знать мой кредитный лимит, или знать, когда мне перечисляют деньги... Если
вы владеете подобной информацией, вы можете эффективно провести
социально-инжиниринговую атаку, которая позволит [злоумышленнику] получить
доступ к счету".
Между тем, представитель Google отмечает, что доклад viaForensics основан на
исследовании только смартфонов Android с root доступом. Доклад хвалит
многоуровневую систему обеспечения безопасности в операционной системе и в
приложении, заметил представитель. "Исследование viaForensics не опровергает
эффективность нескольких уровней безопасности, встроенных в операционную систему
Android и Google Wallet", - сказал представитель компании. "Но, даже в этом
случае элементы системы безопасности продолжают защищать платежные поручения,
включая номера кредитных карт и номера CVV".
"Android активно защищен от вредоносных программ, которые пытаются получить
доступ к системе с правами администратора без ведома пользователя".
Но Эндрю Хуг, IT-директор viaForensics, в ответ на это говорит, что отказ
признать недостатки в системе безопасности Wallet только потому, что они были
выявлены на примере исследования разлоченных телефонов, это спорное решение.
Около 10-15% пользователей смартфонов получают root на устройстве, говорит он, и
его компания должна была получить такой доступ на телефоне при проведении своих
исследований, чтобы получить пробиться к информации в каталоге данных
приложения. Плюс, есть масса вредоносных программ, которые могут получить root
удаленно, отметил он.
"Если вы задумаетесь о том, у какого количества людей уже имеется
административный доступ и о том факте, что для каждого успешного релиза iOS и
Android люди довольно быстро находили доступ к root-у и что существуют эксплоиты,
способные делать это удаленно по сети... мы считаем, что это реальная угроза
потери незащищенных данных", - считает он.
Суть в том, что Google необходимо либо зашифровать все конфиденциальные
данные держателей карт, либо не хранить их все локально в одном месте,
посоветовал он.
"Мы хвалим Google за то, что они установили PIN-код на приложение", - говорит
Хуг. "Но, если вам нужно хранить [уязвимую] информацию, не храните ее в формате
открытого текста".
Тем временем Google исправил несколько других недостатков, на которые им
указали viaForensics: данные после проведения транзакции или перезагрузки Wallet
можно было восстановить, и это позволяло восстановить картинку с информацией об
имени владельца карты, дате окончания ее действия и последних четырех цифрах в
номере счета. Обе эти проблемы были исправлены в версии Wallet 1.0-R33v6.
"С тем количеством данных, которые могут быть считаны, и, учитывая тот факт,
что это платное приложение, Google должен перевести на более высокий уровень
безопасности своего Кошелька", - подытожил он.