GoogleウォレットのPINセキュリティはクラックされていますが、警告があります。これは現在、携帯電話がルート化されている場合にのみ問題になります。 根ざしていない? 心配ない。 そして、それが言われて完了したので、ここに取引があります:
GoogleウォレットPIN(個人識別番号)はデバイスに暗号化されて保存され、データベース内でSHA256の16進数でエンコードされたPIN情報を公開するブルートフォースメソッドが見つかりました。 無責任に一般公開されたこの方法は、ウォレットアプリ自体で不正な試行を行うことなくPINを見つけることができ、アプリケーションがPINエントリに対して行う5つの試行ルールを無効にします。 (休憩後の動作をご覧ください。)
さて、ここですべてを説明するのにそれほどセクシーな方法はありません。 Googleウォレットを備えた携帯電話が必要です。また、デバイスをルート化し、安全なロック画面を設定しておらず、携帯電話を紛失している必要があります。 それを見つけた人は、 zvleoのフェロー が作成したアプリを使用でき、PINをブルートフォースするために配布されてから、クレジットカードを見つけた場合と同じように、電話を使用して支払いを行うことができます。これよりも速くて簡単です。
Googleは通知を受けており、既に問題の修正方法を知っていますが、問題があります。 より安全にするには、GoogleがPIN情報を移動して、銀行が管理および維持する必要があります。 これには、利用規約の変更が必要になるだけでなく、情報を安全に保つために企業の銀行機関に頼っています。 私は、CitigroupのサーバーがGoogleのサーバーよりも簡単に侵入できることを望みます。そして、同じ問題を繰り返します。
問題を解決するより良い方法は、ユーザーにより良いパスワードの使用を強制することです。 PIN情報は4つの数字しか使用しないため、簡単に解読できます。 これは、可能な組み合わせが10, 000個しかないことを意味し、Androidフォンのようなポータブルコンピュータでさえ、そのようなブルートフォース攻撃を仕掛けることができます。 パスコードをFgtr5400&d77のようなものに変更します-文字、数字、記号の組み合わせを使用します-壊れる可能性ははるかに低く、便利ではないため使用されることすらありません。 それはキャッチ22です-PINは使いやすく覚えやすいですが、簡単に破ることもできます。
Googleウォレットの使用を停止するよう指示することも、携帯電話のルート化を停止するよう指示するつもりもありません。 紛失する前に、ロック画面にパスコードを入れてロック画面に表示するように指示します。
ソース:zvelo
モバイル視聴用のYouTubeリンク
