"Значительное" количество незашифрованных данных ставит телефоны с Android в
рискованное положение, говорят исследователи.

Самое долгожданное мобильное платежное приложение от Google для расчетов в
местных магазинах хранит некоторую секретную информацию о пользователях в
нешифрованном виде, например, имена пользователей, даты транзакций, адреса
электронной почты, а также, остаток на счете покупателей, говорится в
исследовании, опубликованном сегодня.

Исследователи из viaForensics

протестировали
безопасность
Google Wallet
систему, позволяющую потребителям совершать сделки по кредитным картам, выкупать
подарочные сертификаты и использовать карты лояльного членства в магазинах со
своих телефонов — во взломанных смартфонах Android и обнаружили, что приложение
передает конфиденциальную информацию в незашифрованном виде. Хотя Google Wallet
скрывает полный номер счета кредитной карты, последние четыре цифры хранятся в
текстовом формате в локальной базе данных приложения — SQLite.

Хорошей новостью, утверждают в viaForensics, является то, что приложение
успешно противостоит атакам типа "человек посередине", и защищено PIN-кодом при
операциях с картами.

Но SQLite базы данных приложения, постоянно находящиеся в телефонах Android,
содержат информацию о балансе кредитной карты, лимите, сроке действия, имени
владельца, дате и месте транзакции — эта информация, по словам viaForensics,
может быть использована, например, для социального инжиниринга против
фактического владельца счета.

"Они недооценили важность данных, потеря которых не обрадует потребителей", —
говорит Эндрю Хуг, IT-директор viaForensics. "Меня не устраивает, что кто-то
будет знать мой кредитный лимит, или знать, когда мне перечисляют деньги… Если
вы владеете подобной информацией, вы можете эффективно провести
социально-инжиниринговую атаку, которая позволит [злоумышленнику] получить
доступ к счету".

Между тем, представитель Google отмечает, что доклад viaForensics основан на
исследовании только смартфонов Android с root доступом. Доклад хвалит
многоуровневую систему обеспечения безопасности в операционной системе и в
приложении, заметил представитель. "Исследование viaForensics не опровергает
эффективность нескольких уровней безопасности, встроенных в операционную систему
Android и Google Wallet", — сказал представитель компании. "Но, даже в этом
случае элементы системы безопасности продолжают защищать платежные поручения,
включая номера кредитных карт и номера CVV".

"Android активно защищен от вредоносных программ, которые пытаются получить
доступ к системе с правами администратора без ведома пользователя".

Но Эндрю Хуг, IT-директор viaForensics, в ответ на это говорит, что отказ
признать недостатки в системе безопасности Wallet только потому, что они были
выявлены на примере исследования разлоченных телефонов, это спорное решение.
Около 10-15% пользователей смартфонов получают root на устройстве, говорит он, и
его компания должна была получить такой доступ на телефоне при проведении своих
исследований, чтобы получить пробиться к информации в каталоге данных
приложения. Плюс, есть масса вредоносных программ, которые могут получить root
удаленно, отметил он.

"Если вы задумаетесь о том, у какого количества людей уже имеется
административный доступ и о том факте, что для каждого успешного релиза iOS и
Android люди довольно быстро находили доступ к root-у и что существуют эксплоиты,
способные делать это удаленно по сети… мы считаем, что это реальная угроза
потери незащищенных данных", — считает он.

Суть в том, что Google необходимо либо зашифровать все конфиденциальные
данные держателей карт, либо не хранить их все локально в одном месте,
посоветовал он.

"Мы хвалим Google за то, что они установили PIN-код на приложение", — говорит
Хуг. "Но, если вам нужно хранить [уязвимую] информацию, не храните ее в формате
открытого текста".

Тем временем Google исправил несколько других недостатков, на которые им
указали viaForensics: данные после проведения транзакции или перезагрузки Wallet
можно было восстановить, и это позволяло восстановить картинку с информацией об
имени владельца карты, дате окончания ее действия и последних четырех цифрах в
номере счета. Обе эти проблемы были исправлены в версии Wallet 1.0-R33v6.

"С тем количеством данных, которые могут быть считаны, и, учитывая тот факт,
что это платное приложение, Google должен перевести на более высокий уровень
безопасности своего Кошелька", — подытожил он.



Оставить мнение