El proyecto de “monedero móvil” de Google parece tener problemas de seguridad importantes. Una compañía de seguridad informática ha reportado dos agujeros que permiten acceder al código PIN de la aplicación.
Google Wallet es un nuevo proyecto de Google que ofrece la posibilidad de pagar en comercios con tu teléfono móvil utilizando la tecnología NFC. La comodidad de pagar nuestras compras confirmando un código en nuestro terminal y pasándolo por un lector hace la propuesta muy interesante pero presenta todavía problemas técnicos en su implementación. Según informan en Xataka, la empresa de soluciones de seguridad Zvelo expuso hace unos días en su blog dos fallos graves de seguridad. Estos agujeros atacan principalmente una vulnerabilidad para acceder a nuestro PIN, el código con el que validamos el realizar una compra mediante Google Wallet.
Un método de pago en el punto de mira
Hace unos meses, otra empresa que ofrece servicios de seguridad informática había señalado que este método de pago tenía problemas de seguridad potenciales porque almacenaba demasiada información sobre la aplicación en el propio terminal. ViaForensics afirmaba que un ataque de ingeniería social podría lograr acceso a esos datos de manera sencilla. Desde Zvelo se pusieron a investigar esta supuesta amenaza y finalmente confirmaron dos importantes vulnerabilidades que inmediatamente reportaron a Google y publicaron desde su página.
Dos tipos de usuarios afectados
En un primer momento parecía que solo los usuarios del servicio que hubieran realizado el root de sus terminales estarían afectados. En estos casos una aplicación maliciosa con permisos de superusuario podría fácilmente acceder a nuestro código PIN de Google Wallet. No obstante, poco después se presentó una nueva vulnerabilidad que ponía en peligro incluso a los usuarios que no hubieran rooteado sus dispositivos. Al borrar los datos de la aplicación en nuestro teléfono, o incluso iniciar en Modo seguro, Wallet simplemente nos pedirá un nuevo PIN, sin tener que confirmar ningún tipo de dato más.
Google no convence en sus explicaciones
La respuesta de Google hasta el momento acerca de estos hechos graves ha dejado bastante que desear. A sus usuarios con terminales rooteados les pide que simplemente no utilicen el servicio. Al resto les pide que refuercen la seguridad para proteger sus terminales de accesos no deseados por parte de desconocidos.