Alfonso Maruccia

Il Google Wallet su Android è bucato

Il sistema di pagamento di Mountain View ha qualche difficoltà. Ci sono almeno due modi di scavalcarlo. Google prima minimizza, poi conferma e prepara una patch

Roma - Non bastasse la presenza di malware (più o meno presunto) distribuito sul Marketplace, il sistema operativo Android deve ora fare i conti con una nuova falla di sicurezza. Anzi due, con l'obiettivo che è sempre lo stesso: cancellare il PIN di accesso al servizio di e-payment Google Wallet (non disponibile per il momento in Italia). Ma i metodi per raggiungerlo alquanto diversi.

Nel primo caso la "falla" si presenta come la possibilità di usare un app per crackare il sistema di verifica del PIN di accesso al servizio Google Wallet, da eseguire necessariamente su smartphone Android bloccati.

Scoperta da Zvelo, la falla è stata ammessa da Google che ha prima annunciato di essere al lavoro su un fix e ha poi fatto una mezza marcia indietro dichiarando che "a oggi, non esiste alcuna vulnerabilità nota che permetta a qualcuno di prendere un telefono consumer e ottenere l'accesso root preservando le informazioni di Google Wallet come il PIN".
Il problema è circoscritto a dispositivi sbloccati ("rootati" in gergo), sostiene Google, ma a breve distanza dalla falla di Zvelo arriva l'individuazione di un nuovo problema che affligge il servizio Wallet anche su telefonini non sbloccati: basta cancellare le informazioni delle "app" nelle impostazioni di Android per costringere Google Wallet a ripetere la procedura di setup, con tanto di impostazione di nuovo PIN e una nuova carta prepagata su cui verranno trasferiti tutti i fondi precedentemente a disposizione dell'utente.

Anche in questo caso la risposta di Mountain View non si è fatta attendere, ma i toni delle dichiarazioni sono molto meno ottimisti: in attesa di un "fix automatico" da distribuire sul Marketplace, Google consiglia a chiunque perdesse il proprio telefonino - per cancellare il PIN di Wallet occorre avere accesso diretto al dispositivo - di chiamare il numero dell'assistenza telefonica del proprio istituto di credito per disabilitare le proprie carte.

Alfonso Maruccia
Notizie collegate
  • SicurezzaGoogle Wallet? Dati personali all'incantoUna società di sicurezza evidenzia una grave falla nella gestione dei dati riservati da parte della nuova tecnologia per il pagamento wireless promossa da Google su Android. Tutto bene, garantisce Mountain View
  • SicurezzaAndroid, nuova frontiera del malware mobileTestimonianze sui forum Android evidenziano l'esistenza di una falla all'interno del marketplace dell'OS di Google: malware camuffati da app di sistema si fanno strada sui cellulari degli utenti. E magari polimorfizzano
55 Commenti alla Notizia Il Google Wallet su Android è bucato
Ordina
  • Gli articoli relativi ai malware su Android o ai bug sul kernel Linux vengono pubblicati il venerdì in modo che rimangano bene in vista anche il sabato e la domenica; questo su Android è in evidenza anche il lunedì.

    Analoghi articoli che riguardano problemi su iOS o MacOSX durano poche ore (quando vengono pubblicati) e poi spariscono.
    non+autenticato
  • - Scritto da: Alvaro Vitali
    > Gli articoli relativi ai malware su Android o ai
    > bug sul kernel Linux vengono pubblicati il
    > venerdì in modo che rimangano bene in vista anche
    > il sabato e la domenica; questo su Android è in
    > evidenza anche il
    > lunedì.
    >
    > Analoghi articoli che riguardano problemi su iOS
    > o MacOSX durano poche ore (quando vengono
    > pubblicati) e poi
    > spariscono.

    Se usi il feed tutti gli articoli ti rimangono disponibili in ordine cronologico.
    Funz
    11586
  • prevedo cambiamenti perché certi svarioni non sono accettabili, pena dover cedere definitivamente il passo a iOS (e in parte da WP)
    non+autenticato
  • - Scritto da: tucumcari
    > prevedo cambiamenti perché certi svarioni non
    > sono accettabili, pena dover cedere
    > definitivamente il passo a iOS (e in parte da
    > WP)

    Bene.
    Ciao, nessuno sentirà la tua mancanzaSorride
  • - Scritto da: tucumcari
    > prevedo cambiamenti perché certi svarioni non
    > sono accettabili, pena dover cedere
    > definitivamente il passo a iOS (e in parte da
    > WP)

    il passo ad ios? quello che ogni app ruba i dati dei clienti senza che ne sappiano nulla?
    non+autenticato
  • - Scritto da: ego

    > il passo ad ios? quello che ogni app ruba i dati
    > dei clienti senza che ne sappiano nulla?

    balls... e lo sai benissimo: sei solo un troll!!!
    (i problemi ce li ha android, basta vedere gli articoli degli ultimi giorni)
    non+autenticato
  • - Scritto da: tucumcari
    > - Scritto da: ego
    >
    > > il passo ad ios? quello che ogni app ruba i
    > dati
    > > dei clienti senza che ne sappiano nulla?
    >
    > balls... e lo sai benissimo: sei solo un troll!!!
    > (i problemi ce li ha android, basta vedere gli
    > articoli degli ultimi
    > giorni)

    articoli in buona parte fondati su premesse sballate e FUD da parte delle compagnie di antivirus

    c'è stata la guerra la settimana scorsa sul famoso trojan che doveva schiacciare il mondo android, per poi scoprire che era un banale adware

    a me pare che ultimamente si stia facendo molto FUD su android, chissà come mai
    non+autenticato
  • certo.. certo...
    non+autenticato
  • - Scritto da: ruppolo
    > No, eh? A bocca aperta

    Il silenzio è d'oro e tu hai perso una buona occasione per star zitto!
    non+autenticato
  • Ruppolo, torna nell'ìCloud, dove tu e i tuoi amici invasati vivete nella più totale ignoranza, dato che Apple si guarda bene dal diffondere notizie sulle vulnerabilità che continuamente vengono scoperte sui suoi software ciofeca.

    Ti sembra normale il fatto che non si parli mai dei problemi di sicurezza di iOS?
    non+autenticato
  • - Scritto da: Alvaro Vitali
    > Ruppolo, torna nell'ìCloud, dove tu e i tuoi
    > amici invasati vivete nella più totale ignoranza,
    > dato che Apple si guarda bene dal diffondere

    Volevi dire PI?

    Capisco che sono praticamente la stessa cosa, ma qual leggiamo solo le notizie di PI

    Che si vede bene sparono sempre su android, visto che e' il loro concorrente principaleA bocca aperta
    non+autenticato
  • Successfull troll is successfull
    non+autenticato
  • Quali problemi di sicurezza? Rotola dal ridere
    ruppolo
    32750
  • Questi:

    http://support.apple.com/kb/DL1484

    e sono 1.2 GB di patch!!!
    non+autenticato
  • - Scritto da: Alberto
    > Questi:
    >
    > http://support.apple.com/kb/DL1484
    >
    > e sono 1.2 GB di patch!!!


    Forse ti sfugge che Alvaro Vitali parlava di iOS?

    Tu invece sei passato a parlare di OS X (visto che non sai che pesci pigliare).

    Ma vediamo cosa dice nello specifico:

    Add Catalan, Croatian, Greek, Hebrew, Romanian, Slovak, Thai, and Ukrainian language support
    Address issues when using smart cards to log into OS X
    Resolve issues authenticating with directory services
    Address compatibility issues with Windows file sharing


    Dove sarebbero questi problemi di sicurezza?

    Comunque Android ha i mesi contati.
    Su fronte tablet è un totale fallimento, come dimostrano i dati di download di USA Today:

    http://www.macitynet.it/macity/articolo/USA-Today-...

    Persino il defunto WebOS ha fatto meglio Rotola dal ridere
    Ah, se per caso vuoi fare figuracce aggrappandoti alla fonte, usa prima Google: te le risparmi.

    Quando agli smartphone, tempi duri si avvicinano:
    http://www.macitynet.it/macity/articolo/Apple-atta...

    A quanto pare Steve Jobs ha lascito chiare direttive sul come punire i parassiti.
    -----------------------------------------------------------
    Modificato dall' autore il 12 febbraio 2012 12.05
    -----------------------------------------------------------
    ruppolo
    32750
  • I problemi di sicurezza sono qui:

    For information on the security content of this update, please visit: http://support.apple.com/kb/HT1222. (bastava leggere la pagina fino in fondo) e qui:http://secunia.com/advisories/47843:di sotto sono riportate le vulnerabilita' classificate pure come molto critiche:

        Highly critical
    Impact     Cross Site Scripting
    Spoofing
    Exposure of sensitive information
    Privilege escalation
    DoS
    System access
    From remote
    non+autenticato
  • Già, così un fallimento che anche iPad HA i giorni contatiA bocca aperta

    Ti ricordo quello che dicevi dei telefoni Android, e quello che è successo... Rotola dal ridere
    non+autenticato
  • - Scritto da: hermanhesse quello Tost0
    > Già, così un fallimento che anche iPad HA i
    > giorni contati
    >A bocca aperta
    >
    > Ti ricordo quello che dicevi dei telefoni
    > Android, e quello che è successo...
    > Rotola dal ridere

    L'importante è avere fede, se non accadrà in questa vita sicuramente nella prossima quando Ruppolo salirà al Paradiso delle Mele e siederà alla destra di JobsCon la lingua fuori
    Funz
    11586