A segurança do PIN da Carteira virtual do Google foi decifrada, mas há uma ressalva - isso atualmente é apenas um problema se o telefone estiver enraizado. Nao enraizado? Não se preocupe. E com isso dito e feito, aqui está o acordo:
Seu PIN da Carteira virtual do Google (Número de identificação pessoal) é armazenado criptografado no seu dispositivo e foi encontrado um método de força bruta para expor as informações do PIN codificado em hexadecimal SHA256 dentro do banco de dados. Esse método, que foi irresponsávelmente divulgado ao público, pode encontrar o PIN sem nenhuma tentativa incorreta no próprio aplicativo Wallet, negando a regra de cinco tentativas que o aplicativo possui para a entrada do PIN. (Veja em ação após o intervalo.)
Agora, aqui está a maneira não tão sexy de descrever tudo. Você precisará ter um telefone com a Carteira virtual do Google e ter enraizado seu dispositivo, além de não ter definido uma tela de bloqueio segura e perder o telefone. A pessoa que encontrar ENTÃO pode usar o aplicativo que os bolsistas da zvleo fizeram e, desde então, distribuí- los para forçar o PIN com força bruta e ENTÃO pode usar seu telefone para fazer pagamentos, da mesma forma que eles poderiam se encontrassem seu cartão de crédito, o que provavelmente seria mais rápido e fácil do que isso.
O Google foi notificado e já sabe como resolver o problema, mas há um problema. Para torná-lo mais seguro, o Google precisará mover as informações do PIN para serem controladas e mantidas pelo seu banco. Isso não apenas exigirá algumas alterações nos termos de serviço, mas também contamos com instituições bancárias corporativas para manter nossas informações seguras. Aposto que os servidores do Citigroup são mais fáceis de invadir do que os do Google, e então você tem o mesmo problema novamente.
Uma maneira melhor de corrigir o problema seria forçar os usuários a usar uma senha melhor. As informações do PIN podem ser decifradas com muita facilidade, porque usam apenas quatro números. Isso significa que existem apenas 10.000 combinações possíveis, e mesmo um computador portátil como o seu telefone Android pode realizar esse tipo de ataque de força bruta. Altere a senha para algo como Fgtr5400 e d77 - usando uma combinação de letras, números e símbolos - e é muito menos provável que ela seja quebrada e menos provável de ser usada porque não é conveniente. É um Catch-22 - um PIN é fácil de usar e lembrar, mas também é mais fácil de decifrar.
Não vou pedir para você parar de usar a Carteira virtual do Google, nem para parar de fazer root no seu telefone. Vou dizer para você buscá-lo e colocar uma senha na tela de bloqueio agora, antes que você a perca.
Fonte: zvelo
Link do YouTube para visualização em dispositivos móveis
