La seguridad del PIN de Google Wallet se ha roto, pero hay una advertencia: actualmente solo es un problema si su teléfono está rooteado. ¿No arraigado? Sin preocupaciones. Y con eso dicho y hecho, aquí está el trato:
Su PIN (número de identificación personal) de Google Wallet se almacena encriptado en su dispositivo, y se encontró un método de fuerza bruta para exponer la información del PIN codificado en hexadecimal SHA256 dentro de la base de datos. Este método, que se lanzó al público de manera irresponsable, puede encontrar el PIN sin ningún intento incorrecto en la aplicación Wallet, negando la regla de cinco intentos que la aplicación tiene para ingresar el PIN. (Véalo en acción después del descanso).
Ahora aquí está la manera no tan sexy de describirlo todo. Deberá tener un teléfono con Google Wallet, Y haber rooteado su dispositivo, Y no haber configurado una pantalla de bloqueo segura, Y luego perder su teléfono. La persona que lo encuentre ENTONCES puede usar la aplicación que los compañeros de zvleo han hecho y desde entonces distribuyeron a fuerza bruta el PIN y ENTONCES puede usar su teléfono para realizar pagos, tal como lo harían si encontraran su tarjeta de crédito, lo que probablemente sería Más rápido y fácil que cualquiera de esto.
Google ha sido notificado y ya sabe cómo solucionar el problema, pero hay un problema. Para hacerlo más seguro, Google tendrá que mover la información del PIN para que su banco la controle y mantenga. Esto no solo requerirá algunos cambios en los términos de servicio, sino que también dependemos de las instituciones bancarias corporativas para mantener nuestra información segura. Apuesto a que los servidores de Citigroup son más fáciles de ingresar que los de Google, y luego tienes el mismo problema nuevamente.
Una mejor manera de solucionar el problema sería obligar a los usuarios a usar una contraseña mejor. La información del PIN se puede descifrar tan fácilmente porque solo usa cuatro números. Esto significa que solo hay 10, 000 combinaciones posibles, e incluso una computadora portátil como su teléfono Android puede realizar ese tipo de ataque de fuerza bruta. Cambie el código de acceso a algo así como Fgtr5400 y d77, usando una combinación de letras, números y símbolos, y es mucho menos probable que se rompa, e incluso menos probable que se use porque no es conveniente. Es un Catch-22: un PIN es fácil de usar y recordar, pero también es más fácil de descifrar.
No te voy a decir que dejes de usar Google Wallet, ni te voy a decir que dejes de rootear tu teléfono. Voy a decirle que lo recoja y coloque un código de acceso en la pantalla de bloqueo ahora, antes de que lo pierda.
Fuente: zvelo
Enlace de YouTube para visualización móvil
