Googleの支払いシステムは最も新しいものの1つです。この「新鮮な」サービスは、発見された欠陥に対応してスムーズに修正する必要があることは明らかです。 先日、Joshua Rubin氏のZvelo Labsの専門家が、発見されたGoogleウォレットの重大な脆弱性に関する情報を公開しました。 Zvelo Labsのチームはこの脆弱性を発見しただけでなく、この「穴」を悪用する特別なソフトウェアも作成しました。 Googleウォレットソフトウェアを使用すると、この支払いシステムのアカウント所有者のPINコードをすばやく見つけることができます。
確かに、これには支払いシステムアプリケーションがインストールされたモバイルデバイスへの物理的アクセスが必要です。 ただし、これはそれほど問題ではありません。必要に応じて、攻撃者はGoogleウォレットを備えたモバイルデバイスを所有しているモバイルデバイスの所有者を簡単に見つけ出し、これらのデバイスを盗むことができます。 これをすべて上げることができる「マスター」で十分です。 また、紛失した電話は攻撃者の収入源にもなります。
現在、Zvelo Labsの専門家は、Google開発者はすでにこの脆弱性について知らされており、できるだけ早く穴を塞ごうとしていると言っています。 脆弱性を発見したJoshua Rubin氏は、彼が書いたアプリケーションを使用すると、2回目の試行(合計5回のPIN入力が正しく行われた)からペイメントシステムユーザーのPINを簡単に見つけることができると述べています。 良いことは、PINをリモートで認識できないことです。上記のように、デバイスへの物理的なアクセスのみが必要です。
興味深いことに、電話からデータを消去することでウォレットへのアクセスを許可した別の脆弱性に関する最近公開された情報。 その結果、欺かれたプログラムは初期構成で「最初の実行」を行います。 これにより、攻撃者は他の人の電話でGoogleウォレットを簡単に使用できます。
以下に、2番目の脆弱性がどのように機能するかのデモを見ることができます。
Hオンライン +エコノミータイムズ経由