Google Wallet ha sido crackeado. Wallet Cracker, una aplicación desarrollada por Zvelo, permite ejecutar ataques de fuerza bruta al PIN de Google Wallet, número que mantiene a la aplicación segura. A pesar de que esta vulnerabilidad es bastante seria, por ahora sólo afecta a los dispositivos Android que han sido rooteados. Por otro lado, un segundo crack ha sido descubierto, que afecta absolutamente a todos los dispositivos, sin necesidad de estar rooteado.

Primer método de crack

Tu PIN de Google Wallet está almacenado de forma encriptada en tu dispositivo, pero un método de fuerza bruta fue descubierto que expone el PIN codificado en SHA256 dentro de la base de datos. Este método puede encontrar el PIN de tu Wallet sin ningún intento incorrecto en la aplicación, negando la regla de 5 intentos para la introducción de PIN.

Tan pronto como fue descubierta la vulnerabilidad, Zvelo envió su logro al equipo de Google quienes «acordaron trabajar rápidamente para resolverlo». No sabemos cuándo Google Wallet será actualizado para corregir el error, pero si vives en EEUU y usas la aplicación, te sugerimos tomar las precauciones necesarias para mantener tu dispositivo seguro en caso de que caiga en las manos erradas. Aquellos que han sido víctimas del robo de una tarjeta de crédito, saben lo rápido que las cosas pueden salirse de control.

Google envió una respuesta sobre esto a The Next Web indicando que están al tanto de la situación. De hecho, no sabemos si Google está trabajando en una corrección en este momento, pero la compañía sugirió no instalar Google Wallet en dispositivos con root.

El estudio de Zvelo fue realizado en su propio teléfono en el que había deshabilitado los mecanismos de seguridad que protegen Google Wallet al rootear el dispositivo. A la fecha, no se conoce ninguna vulnerabilidad que permita a alguien tomar el teléfono de un usuario, obtener acceso root y a la vez preservar la información de Wallet como por ejemplo el PIN.

Recomendamos a la gente no instalar Google Wallet en dispositivos rooteados y siempre mantener un bloqueo de pantalla activo como una capa adicional de seguridad para su teléfono.

Puedes ver el crack en acción en el video a continuación.

Segundo método de crack

Adicionalmente, el día de hoy, TheSmarphoneChamp, explotó otra vulnerabilidad dentro de la aplicación. Sin necesidad de root, alguien puede usar tus fondos con tan solo limpiar la configuración de la aplicación, lo cual forzará a Wallet a solicitarte un nuevo PIN. Una vez has introducido el PIN, el ladrón tendrá acceso a todos tus fondos previamente cargados. Tan sencillo como eso.

Google ha ofrecido el siguiente estatuto en relación al reciente crack:

Pedimos a quienes pierdan o quieran vender su teléfono, llamar al soporte gratuito de Wallet al 855-492-5538 para deshabilitar las tarjetas prepagadas. Estamos trabajando en una actualización automática que estará disponible pronto. Recomendamos siempre mantener un bloqueo de pantalla activo como una capa adicional de seguridad para su teléfono.

[Fuente: Zvelo via Android Central]