Google koncom mája zverejnil podrobnosti o projekte Google peňaženka (Wallet), cieľom ktorej je premeniť váš Android telefón na digitálnu peňaženky/platobnú kartu. Uchovávať informácie o svojej kreditnej karte priamo na telefóne so sebou prináša aj určité riziko zneužitia. Inžinieri v Googli sa snažili spraviť čo najviac pre zabezpečenie týchto informácií, no problém je v tom, že v konečnom dôsledku má k týmto informáciám prístup “autorizovaná” Android aplikácia, ktorá je podľa bezpečnostných expertov Achilovou pätou bezpečnosti Google Wallet.
Android smartfóny vybavené NFC chipom pre mobilné platby uskladňujú citlivé údaje na osobitnom chipe. Všetky údaje sú zašifrované pomocou PKI a Triple-DES algoritmov, takže spolu s ochranou proti fyzickej manipulácií s chipom by mali poskytovať dostatočnú ochranu.
Problémom je, ako sme už spomenuli, samotná Android aplikácia pre prístup k platobným údajom. Táto síce obsahuje ochranu štvortmiestnym PIN kódom, takže nemôžeme povedať, že v Googli na bezpečnosť nemysleli. Veľa ľudí si však nastavuje ľahko uhádnuteľný PIN ako napr. “1111” alebo “1234,” lebo sa dajú ľahko zapamätať a – pretože môžu.
Ale aj s dostatočne silným PIN kódom je tu stále problém v podobe samotnej Google Wallet Android aplikácie, ktorá má prístup k vašim šifrovaným údajom a spracováva platby. Jimmy Shah, výskumný pracovník v oddelení mobilnej bezpečnosti spoločnosti McAfee, poukázal na skutočnosť, že chip, na ktorom sú uložené všetky platobné informácie, používa na autentifikáciu asymetrické šifrovanie, z čoho vyplýva, že aplikácia Google Wallet obsahuje dešifrovací kľúč priamo vo svojom zdrojovom kóde. Existuje teda reálne riziko, že hackeri dokážu tento kľúč získať procesom zvaným reverse-engineering.
Shah na margo bezpečnosti Google peňaženky povedal: “Ďalším krokom by bolo vytvorenie škodlivej aplikácie, ktorá by napodobňovala oficiálnu Google Wallet aplikáciu a podvodom získala prístup k údajom na zabezpečenom chipe. S týmito údajmi môže útočník zbierať informácie o vašom účte, či sa pokúsiť naklonovať viacero NFC kariet a pokúsiť sa o platby vo vašom mene.”
My na Slovensku si ešte nejaký čas na možnosť platby telefónom počkáme, takže nie sme vystavení priamej hrozbe. Ani ja som v Anglicku NFC chip vo svojom Nexuse S nepoužil, ale je dobré vedieť, že je tu určité riziko, a minimálne sa oplatí počkať si na vyjadrenie Googlu.
Zdroje: International Business Times, PC World
