Google Wallet vulnerabile agli attacchi brute force

Google Wallet è una app di Google che permette di salvare i dati delle carte di credito e di usare il cellulare come mezzo di pagamento.
Nei negozi che accettano tale metodo di pagamento è sufficiente sfiorare il display per procedere al pagamento, che verrà emesso dalla carta di credito. Stesso funzionamento è possibile anche nei negozi online che aderiscono all'iniziativa.
Al momento il servizio è disponibile solo negli Stati Uniti.

Scavando nel codice dell'applicazione e usando le risorse gratuite di Google per svelare i contenuti, è stato scoperto un file codificato che contiene l'user ID, le informazioni dell'account Google e il PIN.
Siccome il PIN è composto da solamente quattro caratteri, è sufficiente un attacco "forza bruta" per provare le 10 mila combinazioni possibili e decodificarlo. Per dimostrare questo i ricercatori hanno creato una applicazione per "crackare" il Wallet, che svolge il compito molto velocemente.

Google ha preso molto sul serio la segnalazione, ma la soluzione al problema è ostacolata dalla necessità di coordinarsi con le banche, visto che cambiare i PIN potrebbe implicare anche il cambio dell'agenzia che si occupa della loro sicurezza.

Nel mentre Google ha comunicato le linee guida da seguire per evitare il problema: non sbloccare il telefono, attivare il blocca schermo, disabilitare la USB debugging, attivare la Full Disk Encryption e tenere il device sempre aggiornato.

N.B. Il bug coinvolge solamente gli smartphone sbloccati con accesso alla root.