Scoperte due falle nel borsellino elettronico di Google

Google Wallet, il “borsellino elettronico” che la società fondata da Larry Page e Sergey Brin ha portato al debutto, soffrirebbe di un paio di vulnerabilità di sicurezza. A sostenerlo sono i ricercatori di “zvelo” che spiegano di aver messo a punto un’applicazione in grado di “indovinare” il PIN dell’utente, necessario per sbloccare ogni transazione.

Il meccanismo di pagamento Google Wallet consente di effettuare pagamenti in tutta libertà semplicemente avvicinando il proprio smartphone, dotato di chip NFC (“Near Field Communication“), ad un terminale compatibile (installato, ad esempio, presso un qualunque esercizio commerciale). Come spiegato in questo nostro articolo, Wallet può essere “interfacciato” con la carta di credito Citi MasterCard oppure con la prepagata di Google che, a sua volta può essere legata a qualunque altra carta. E’ comunque altamente probabile che Visa, American Express e Discover decidano ben presto di aggiungersi alla partita dal momento che le tre società hanno tutte rilasciato le specifiche per l’impiego del chip NFC.

Per accedere al “borsellino elettronico”, l’utente deve comunque digitare un apposito PIN, necessario per autorizzare il pagamento. Gli esperti di “zvelo” hanno realizzato un’applicazione che, sostanzialmente, sferra un attacco “brute force” nei confronti di Google Wallet nel tentativo di risalire al codice PIN corretto. E’ chiaro che questo sistema non sarebbe immediatamente utilizzabile da un malintenzionato che volesse sottrarre l’altrui denaro dal momento che un requisito è indispensabile affinché l’attacco vada in porto: lo smartphone Android dev’essere “sbloccato” ossia l’utente deve aver precedentemente preso possesso dell’accesso in modalità “root“. Inoltre, l’aggressore deve poter disporre “fisicamente” dello smartphone e dovrà installarvi manualmente l’applicazione capace di effettuare il “brute force“.

I tecnici di Google, che sono al lavoro per risolvere il problema, invitano gli utenti a non attivare l’accesso “root” e ad impostare un sistema di blocco del dispositivo. Il team di “zvelo” ha aggiunto dei consigli appannaggio dei più paranoici: la disattivazione del “debugging USB” e, se possibile, l’attivazione della cifratura.

Il problema, secondo “zvelo” affonda le radici nell’impiego – da parte di Google Wallet – di una stringa codificata con l’algoritmo di hashing SHA256 (ved. questo nostro articolo dedicato all’argomento) che viene memorizzata sul telefono. Dal momento che il PIN è composto solo da quattro cifre, i ricercatori hanno rilevato come un attacco “brute force” potesse essere posto in essere semplicemente calcolando un totale di 10.000 hash SHA256.

A distanza di qualche ora, però, sul web sono apparsi i dettagli di una seconda e forse più grave vulnerabilità.
Google Wallet accetta tre differenti tipologie di pagamento: una Citi Mastercard, una carta prepagata Google od anche l’uso di una “gift card” (una carta prepagata regalo). La seconda opzione consente, come già evidenziato, di associare alla carta prepagata Google, a sua volta, una carta di credito o di debito dalla quale sarà tratto il denaro. La carta prepagata non è associata ad un account Google ma è legata all’uso con uno specifico smartphone.
Un malintenzionato che riuscisse ad impadronirsi del telefono sul quale è stato abilitato il Google Wallet potrà sottrarre denaro dalla carta associata usando una procedura tutto sommato molto semplice. Egli dovrebbe infatti limitarsi ad accedere alla schermata delle preferenze delle applicazioni e cancellare tutti i dati di Google Wallet. Ci si aspetterebbe che vengano eliminate anche le informazioni sulle carte di credite usate; in realtà, ciò non avverrebbe.
L’aggressore dovrebbe quindi limitarsi a reimpostare un account, compreso un nuovo PIN. Dopo aver effettuato l’accesso al “borsellino elettronico” digitando il nuovo PIN, al malintenzionato sarà chiesto di introdurre i dati di una carta di credito. Optando per la carta prepagata “collegata” al telefono, Wallet recupererà tutte le informazioni, compreso il dato relativo ai fondi in denaro residui.

A proposito di questa seconda vulnerabilità, Google invita tutti gli utenti che perdessero o vogliano vendere a terzi il loro smartphone di chiamare il supporto tecnico gratuito della società per rompere il legame tra la carta di credito prepagata ed il telefono. I tecnici della società hanno poi aggiunto di essere al lavoro per distribuire una “patch risolutiva”.