Защитата на ПИН на Google Wallet е разбита, но има предостережение - това в момента е проблем само ако телефонът ви е вкоренен. Не се корени? Няма проблем. И с казаното и направено, ето сделката:
Вашият ПИН код на Google Wallet (Личен идентификационен номер) се съхранява криптиран на вашето устройство и бе открит метод за груба сила, който да разкрие SHA256 шестнадесетично кодираната ПИН информация в базата данни. Този метод, който бе безотговорно пуснат на обществеността, може да намери ПИН без никакви неправилни опити в самото приложение Wallet, като отхвърли правилото с пет опита, което приложението има за въвеждане на ПИН. (Вижте го в действие след почивката.)
Сега ето не толкова сексапилният начин да се опише всичко. Ще трябва да имате телефон с Google Wallet, И да вкорените устройството си, И да не сте задали защитен заключен екран, И след това да загубите телефона си. Лицето, което го намери ТОГА, може да използва приложението, с което са стигнали стипендиатите на zvleo и след като е разпространено до груба сила на ПИН кода, и ТОГА може да използва телефона ви за извършване на плащания, точно както биха могли, ако намерят кредитната ви карта, което вероятно би било по-бързо и по-лесно от всичко това.
Google е уведомен и вече знае как да отстрани проблема, но има проблем. За да стане по-сигурна, Google ще трябва да премести ПИН информацията, за да бъде контролирана и поддържана от вашата банка. Това не само ще изисква някои промени в условията на обслужване, но след това разчитаме на корпоративните банкови институции, за да запазим информацията си в безопасност. Бих се обзаложил, че сървърите на Citigroup са по-лесни за разбиване от тези на Google и тогава отново имате същия проблем.
По-добър начин за отстраняване на проблема би било принуждаването на потребителите да използват по-добра парола. Информацията за ПИН може да бъде пропукана толкова лесно, защото използва само четири числа. Това означава, че има само 10 000 възможни комбинации и дори преносим компютър като вашия Android телефон може да издърпа този вид груба атака. Променете паролата на нещо като Fgtr5400 & d77 - използвайки комбинация от букви, цифри и символи - и е много по-малко вероятно да бъде счупен и още по-малко вероятно дори да бъде използван, защото не е удобно. Това е Catch-22 - ПИН е лесен за използване и запомняне, но също така е по-лесен за напукване.
Няма да ви казвам да спрете да използвате Google Wallet, нито ще ви кажа да спрете да вкоренявате телефона си. Ще ви кажа да го вземете и да поставите парола на заключения екран сега, преди да го загубите.
Източник: zvelo
Връзка в Youtube за мобилно гледане
