La sécurité par code PIN de Google Wallet a été piratée, mais il y a une mise en garde - ce n'est actuellement un problème que si votre téléphone est rooté. Pas enracinée? Pas de soucis. Et avec cela dit et fait, voici l'affaire:
Votre Google Wallet ÉPINGLE (Numéro d'identification personnel) est stocké crypté sur votre appareil, et une méthode de force brute a été trouvée pour exposer les informations de code PIN codé hexadécimal SHA256 dans la base de données. Cette méthode, qui a été rendue publique de manière irresponsable, peut trouver le code PIN sans aucune tentative incorrecte dans l'application Wallet elle-même, annulant la règle des cinq essais que l'application a pour la saisie du code PIN. (Voyez-le en action après la pause.)
Voici maintenant la façon pas si sexy de tout décrire. Vous aurez besoin d'un téléphone avec Google Wallet, ET avoir enraciné votre appareil, ET n'ont pas défini d'écran de verrouillage sécurisé, ET puis perdez votre téléphone. La personne qui le trouve PUIS
peuvent utiliser l'application sur laquelle les boursiers zvleo ont créé et depuis distribué à force brute le code PIN et PUIS peuvent utiliser votre téléphone pour effectuer des paiements, tout comme ils le pourraient s'ils trouvaient votre carte de crédit, ce qui serait probablement plus rapide et plus facile que tout cela.Verizon propose le Pixel 4a pour seulement 10 $ / mois sur les nouvelles lignes illimitées
Google a été averti et sait déjà comment résoudre le problème, mais il y a un problème. Pour le rendre plus sécurisé, Google devra déplacer les informations de code PIN pour qu'elles soient contrôlées et conservées par votre banque. Cela nécessitera non seulement des modifications des conditions de service, mais nous comptons ensuite sur les institutions bancaires d'entreprise pour protéger nos informations. Je parierais que Les serveurs de Citigroup sont plus faciles à pénétrer que Google, et vous avez à nouveau le même problème.
Une meilleure façon de résoudre le problème serait de forcer les utilisateurs à utiliser un meilleur mot de passe. Les informations PIN peuvent être déchiffrées si facilement car elles n'utilisent que quatre chiffres. Cela signifie qu'il n'y a que 10000 combinaisons possibles, et même un ordinateur portable comme votre téléphone Android peut réussir ce genre d'attaque par force brute. Remplacez le code par quelque chose comme Fgtr5400 & d77 - en utilisant une combinaison de lettres, de chiffres et de symboles - et il est beaucoup moins susceptible d'être cassé, et encore moins susceptible d'être utilisé car ce n'est pas pratique. C'est un Catch-22 - un code PIN est facile à utiliser et à mémoriser, mais il est également plus facile à déchiffrer.
Je ne vais pas vous dire d'arrêter d'utiliser Google Wallet, et je ne vais pas non plus vous dire d'arrêter de rooter votre téléphone. Je vais vous dire de le récupérer et de mettre un mot de passe sur le écran verrouillé maintenant, avant de le perdre.
La source: zvelo