MojAndroid

Google koncom mája zverejnil podrobnosti o projekte Google peňaženka (Wallet), cieľom ktorej je premeniť váš Android telefón na digitálnu peňaženky/platobnú kartu. Uchovávať informácie o svojej kreditnej karte priamo na telefóne so sebou prináša aj určité riziko zneužitia. Inžinieri v Googli sa snažili spraviť čo najviac pre zabezpečenie týchto informácií, no problém je v tom, že v konečnom dôsledku má k týmto informáciám prístup “autorizovaná” Android aplikácia, ktorá je podľa bezpečnostných expertov Achilovou pätou bezpečnosti Google Wallet.

Android smartfóny vybavené NFC chipom pre mobilné platby uskladňujú citlivé údaje na osobitnom chipe. Všetky údaje sú zašifrované pomocou PKI a Triple-DES algoritmov, takže spolu s ochranou proti fyzickej manipulácií s chipom by mali poskytovať dostatočnú ochranu.

Problémom je, ako sme už spomenuli, samotná Android aplikácia pre prístup k platobným údajom. Táto síce obsahuje ochranu štvortmiestnym PIN kódom, takže nemôžeme povedať, že v Googli na bezpečnosť nemysleli. Veľa ľudí si však nastavuje ľahko uhádnuteľný PIN ako napr. “1111” alebo “1234,” lebo sa dajú ľahko zapamätať a – pretože môžu.

Ale aj s dostatočne silným PIN kódom je tu stále problém v podobe samotnej Google Wallet Android aplikácie, ktorá má prístup k vašim šifrovaným údajom a spracováva platby. Jimmy Shah, výskumný pracovník v oddelení mobilnej bezpečnosti spoločnosti McAfee, poukázal na skutočnosť, že chip, na ktorom sú uložené všetky platobné informácie, používa na autentifikáciu asymetrické šifrovanie, z čoho vyplýva, že aplikácia Google Wallet obsahuje dešifrovací kľúč priamo vo svojom zdrojovom kóde. Existuje teda reálne riziko, že hackeri dokážu tento kľúč získať procesom zvaným reverse-engineering.

Shah na margo bezpečnosti Google peňaženky povedal: “Ďalším krokom by bolo vytvorenie škodlivej aplikácie, ktorá by napodobňovala oficiálnu Google Wallet aplikáciu a podvodom získala prístup k údajom na zabezpečenom chipe. S týmito údajmi môže útočník zbierať informácie o vašom účte, či sa pokúsiť naklonovať viacero NFC kariet a pokúsiť sa o platby vo vašom mene.”

My na Slovensku si ešte nejaký čas na možnosť platby telefónom počkáme, takže nie sme vystavení priamej hrozbe. Ani ja som v Anglicku NFC chip vo svojom Nexuse S nepoužil, ale je dobré vedieť, že je tu určité riziko, a minimálne sa oplatí počkať si na vyjadrenie Googlu.

Zdroje: International Business Times, PC World

7.6.2011

Pravidlá diskusie

Portál MojAndroid.sk si vyhradzuje právo zmazať neslušné, rasistické a vulgárne príspevky, ako aj osobné útoky na redakciu, či diskutérov v komentároch pod článkom bez ďalšieho upozornenia. V prípade uverejňovania odkazov na externé stránky, je komentár automaticky preposlaný do redakcie na schválenie.

  • Kajik

    “takže nie sme vystavený ” je plurál, píše sa s “í” na konci, -> “takže nie sme vystavení “

    • bodaj by si zajtra dostal diktat a mal z neho pätorku! keby si sa radsej k obsahu vyjadril a nie ku gramatike..

      • Guest

        ufff, toto bol akože čo za komentár??  :D :O :X

  • Lolokop

    Kajik boha ty uz nemas co robit len sledovat kedy si kto prdne a utre rit?  a prosim ta skontroluj ma ci tu nemam nejaku chybicku

    • Spajdo

      mas…. :D:D a je dobre ked poukaze na chybu aspon sa z toho pouci autor alebo aj ty alebo hocikto…. jeho prispevok mal vyznam…. a tvoj? :D
      Lebo moj tiez nie… :D

  • Jožo

    Myslím, že rovnaké problémy by sme však dokázali nájsť aj pri súčasných platobných systémoch, napríklad pri platbe platobnou kartou.. Väčšinu problémov podľa mňa spôsobuje nedostatočná informovanosť / alebo lenivosť používateľov.. Ale rád by som videl taký systém, ktorý by popisovaným spôsobom tie dáta získaval .. nech viem sám posúdiť či je to menej zabezpečené ako platobné karty (ktorým v drvivej väčšine stačí dneska odfotiť zadnú a prednú stranu a môžete platiť cez web – vpredu číslo karty vzadu pin na platby cez web).

+