Исследователи указали на недостаточность криптозащиты в Google Wallet

Специалисты аналитической компании ViaForensics заявили, что в системе мобильных платежей Google Wallet обеспечивается недостаточно высокий уровень безопасности: многие сведения о банковской карте и ее владельце хранятся в открытом виде, так что любой желающий может получить к ним доступ.


Согласно заключению исследователей, шифрование применяется только для хранения полного номера карты, чего, по их мнению, явно недостаточно. Мобильный кошелек Google запоминает также сведения об имени владельца, датах последних транзакций, сроке действия карты, сопоставленном ей электронном адресе и состоянии счета; кроме того, отдельно хранятся четыре последние цифры вышеупомянутого номера. Все эти данные не закрыты криптозащитой и доступны для извлечения, ознакомления и хищения.

Соответственно, по мнению аналитиков, реализованный Google подход подвергает пользователей и важные данные ненужному риску. Конечно, завладеть полной информацией о карте и каким-то образом списать с нее средства потенциальный злоумышленник не сможет (полный номер закрыт, а PIN-код в кошельке не хранится), однако вряд ли кто-либо будет рад поделиться с киберпреступниками информацией о своих платежах или количестве денег на карте. Подобные данные можно с успехом использовать для психологического манипулирования (социнжиниринга).

Google не согласился с выводами ViaForensics, указав, что специалисты компании изучали возможности считывания данных на смартфоне, где предварительно был открыт полный административный доступ (root access) к операционной системе. По мнению производителя, при таком исследовании не принимается во внимание многоуровневая система защиты телефонов на базе Android и собственно системы Google Wallet. Кроме того, представители компании подчеркнули, что номер карты и секретный код CVV в любом случае охраняются еще и специальным чипом NXP, встроенным во все Android-устройства с поддержкой электронного кошелька.

The Register

Письмо автору

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Valve закрыла уязвимость в движке CS:GO, грозившую взломом геймеров

Специалисты Valve устранили опасную уязвимость в Source, актуальную для Counter Strike: Global Offensive (CS:GO) и других игр, использующих этот движок. О наличии новой возможности удаленного выполнения кода исследователи сообщили разработчику онлайн-игр почти два года назад, однако тот не торопился принять адекватные меры и запретил автору находки публиковать подробности до решения проблемы.

Уязвимость, о которой идет речь, позволяет захватить контроль над компьютером геймера — для этого достаточно лишь пригласить его поиграть на площадке Steam. Эксплойт также можно поставить на поток, автоматизировав рассылку приглашений от имени жертв взлома.

Исследователь Florian из команды специалистов по реверс-инжинирингу Secret Club подал соответствующий отчет в Valve в июне 2019 года. По его словам, в ходе долгой переписки на платформе HackerOne разработчик оценил уязвимость как критическую и признал, что он слишком медленно реагирует на подобные сигналы.

По всей видимости, латание этой дыры для затронутых игр происходило поэтапно и неспешно, но автора находки об этом не извещали, хотя и выплатили вознаграждение полгода назад. В этом месяце раздосадованный Florian опубликовал ряд тревожных твитов, обнаружив все ту же проблему в движке CS:GO.

Не исключено, что этот шаг подтолкнул Valve к возобновлению переписки: в выходные Florian с облегчением сообщил, что уязвимость полностью пропатчена и ему разрешили опубликовать подробности эксплойта.

Стоит отметить, что это далеко не первый случай, когда Valve тормозит с активной реакцией на подобные инциденты. Ярким примером является случай с Василием Кравцом, который долго пытался достучаться до разработчиков, обнаружив уязвимости нулевого дня в Steam. Его попросту забанили в программе по поиску багов на HackerOne, и исследователь вынужден был опубликовать свои находки.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru