Google Wallet: risolta una falla, l'altra ancora resta

Nei giorni scorsi avevamo segnalato la scoperta di due falle di sicurezza in Google Wallet, il sistema che consente pagamenti elettronici facili e veloci servendosi semplicemente di uno smartphone Android dotato di chip NFC (“Near Field Communication“). Per avviare la transazione è sufficiente avvicinarsi ad un terminale compatibile (installato, ad esempio, presso un esercizio commerciale) e digitare, sul proprio telefono, il codice PIN personale.

I tecnici di Google hanno comunicato di aver risolto una delle due vulnerabilità venute a galla nei giorni scorsi (vi suggeriamo la lettura di questo nostro articolo): un malintenzionato che dovesse riuscire ad impadronirsi dello smartphone Android sul quale è stato abilitato il servizio Google Wallet non potrà più sottrarre denaro dalla carta associata al telefono. Alcuni ricercatori avevano mostrato come il furto fosse molto semplice a realizzarsi: bastava cancellare l’account Google Wallet e ricrearne uno nuovo. Così facendo, Wallet avrebbe riassociato la carta precedentemente usata dal legittimo proprietario dello smartphone con l’account rigenerato “ex novo” dal malintenzionato.

Sembra però restare sul tavolo l’altra vulnerabilità precedentemente documentata: gli autori della scoperta hanno addirittura aggiunto, nel frattempo, che per sferrare l’attacco “brute force“, teso all’individuazione del PIN, non sarebbe neppure necessario guadagnare l’accesso root sul telefono Android. I ricercatori di zvelo sostengono che basterebbe sfruttare una vulnerabilità individuata a fine gennaio scorso nel kernel Linux per eseguire codice come utente root senza cancellare alcun dato dallo smartphone. La lacuna di sicurezza che sarebbe stata usata dagli esperti di zvelo è quella che avevamo illustrato alcune settimane fa in questa pagina. La falla messa a nudo, sempre stando all’indagine condotta da zvelo, sarebbe ancora presente in Android 4.0.