Ответить на комментарий

Картинка: 

"Значительное" количество незашифрованных данных ставит телефоны с Android в рискованное положение, говорят исследователи.

Самое долгожданное мобильное платежное приложение от Google для расчетов в местных магазинах хранит некоторую секретную информацию о пользователях в нешифрованном виде, например, имена пользователей, даты транзакций, адреса электронной почты, а также, остаток на счете покупателей, говорится в исследовании, опубликованном сегодня.

Исследователи из viaForensics протестировали безопасность Google Wallet — систему, позволяющую потребителям совершать сделки по кредитным картам, выкупать подарочные сертификаты и использовать карты лояльного членства в магазинах со своих телефонов — во взломанных смартфонах Android и обнаружили, что приложение передает конфиденциальную информацию в незашифрованном виде. Хотя Google Wallet скрывает полный номер счета кредитной карты, последние четыре цифры хранятся в текстовом формате в локальной базе данных приложения - SQLite.

Хорошей новостью, утверждают в viaForensics, является то, что приложение успешно противостоит атакам типа "человек посередине", и защищено PIN-кодом при операциях с картами.

Но SQLite базы данных приложения, постоянно находящиеся в телефонах Android, содержат информацию о балансе кредитной карты, лимите, сроке действия, имени владельца, дате и месте транзакции — эта информация, по словам viaForensics, может быть использована, например, для социального инжиниринга против фактического владельца счета.

"Они недооценили важность данных, потеря которых не обрадует потребителей", - говорит Эндрю Хуг, IT-директор viaForensics. "Меня не устраивает, что кто-то будет знать мой кредитный лимит, или знать, когда мне перечисляют деньги... Если вы владеете подобной информацией, вы можете эффективно провести социально-инжиниринговую атаку, которая позволит [злоумышленнику] получить доступ к счету".

Между тем, представитель Google отмечает, что доклад viaForensics основан на исследовании только смартфонов Android с root доступом. Доклад хвалит многоуровневую систему обеспечения безопасности в операционной системе и в приложении, заметил представитель. "Исследование viaForensics не опровергает эффективность нескольких уровней безопасности, встроенных в операционную систему Android и Google Wallet", - сказал представитель компании. "Но, даже в этом случае элементы системы безопасности продолжают защищать платежные поручения, включая номера кредитных карт и номера CVV".

"Android активно защищен от вредоносных программ, которые пытаются получить доступ к системе с правами администратора без ведома пользователя".

Но Эндрю Хуг, IT-директор viaForensics, в ответ на это говорит, что отказ признать недостатки в системе безопасности Wallet только потому, что они были выявлены на примере исследования разлоченных телефонов, это спорное решение. Около 10-15% пользователей смартфонов получают root на устройстве, говорит он, и его компания должна была получить такой доступ на телефоне при проведении своих исследований, чтобы получить пробиться к информации в каталоге данных приложения. Плюс, есть масса вредоносных программ, которые могут получить root удаленно, отметил он.

"Если вы задумаетесь о том, у какого количества людей уже имеется административный доступ и о том факте, что для каждого успешного релиза iOS и Android люди довольно быстро находили доступ к root-у и что существуют эксплоиты, способные делать это удаленно по сети... мы считаем, что это реальная угроза потери незащищенных данных", - считает он.

Суть в том, что Google необходимо либо зашифровать все конфиденциальные данные держателей карт, либо не хранить их все локально в одном месте, посоветовал он.

"Мы хвалим Google за то, что они установили PIN-код на приложение", - говорит Хуг. "Но, если вам нужно хранить [уязвимую] информацию, не храните ее в формате открытого текста".

Тем временем Google исправил несколько других недостатков, на которые им указали viaForensics: данные после проведения транзакции или перезагрузки Wallet можно было восстановить, и это позволяло восстановить картинку с информацией об имени владельца карты, дате окончания ее действия и последних четырех цифрах в номере счета. Обе эти проблемы были исправлены в версии Wallet 1.0-R33v6.

"С тем количеством данных, которые могут быть считаны, и, учитывая тот факт, что это платное приложение, Google должен перевести на более высокий уровень безопасности своего Кошелька", - подытожил он.

xakep.ru