Alfonso Maruccia

Il Google Wallet su Android è bucato

Il sistema di pagamento di Mountain View ha qualche difficoltà. Ci sono almeno due modi di scavalcarlo. Google prima minimizza, poi conferma e prepara una patch

Roma - Non bastasse la presenza di malware (più o meno presunto) distribuito sul Marketplace, il sistema operativo Android deve ora fare i conti con una nuova falla di sicurezza. Anzi due, con l'obiettivo che è sempre lo stesso: cancellare il PIN di accesso al servizio di e-payment Google Wallet (non disponibile per il momento in Italia). Ma i metodi per raggiungerlo alquanto diversi.

Nel primo caso la "falla" si presenta come la possibilità di usare un app per crackare il sistema di verifica del PIN di accesso al servizio Google Wallet, da eseguire necessariamente su smartphone Android bloccati.

Scoperta da Zvelo, la falla è stata ammessa da Google che ha prima annunciato di essere al lavoro su un fix e ha poi fatto una mezza marcia indietro dichiarando che "a oggi, non esiste alcuna vulnerabilità nota che permetta a qualcuno di prendere un telefono consumer e ottenere l'accesso root preservando le informazioni di Google Wallet come il PIN".
Il problema è circoscritto a dispositivi sbloccati ("rootati" in gergo), sostiene Google, ma a breve distanza dalla falla di Zvelo arriva l'individuazione di un nuovo problema che affligge il servizio Wallet anche su telefonini non sbloccati: basta cancellare le informazioni delle "app" nelle impostazioni di Android per costringere Google Wallet a ripetere la procedura di setup, con tanto di impostazione di nuovo PIN e una nuova carta prepagata su cui verranno trasferiti tutti i fondi precedentemente a disposizione dell'utente.

Anche in questo caso la risposta di Mountain View non si è fatta attendere, ma i toni delle dichiarazioni sono molto meno ottimisti: in attesa di un "fix automatico" da distribuire sul Marketplace, Google consiglia a chiunque perdesse il proprio telefonino - per cancellare il PIN di Wallet occorre avere accesso diretto al dispositivo - di chiamare il numero dell'assistenza telefonica del proprio istituto di credito per disabilitare le proprie carte.

Alfonso Maruccia
Notizie collegate
  • SicurezzaGoogle Wallet? Dati personali all'incantoUna società di sicurezza evidenzia una grave falla nella gestione dei dati riservati da parte della nuova tecnologia per il pagamento wireless promossa da Google su Android. Tutto bene, garantisce Mountain View
  • SicurezzaAndroid, nuova frontiera del malware mobileTestimonianze sui forum Android evidenziano l'esistenza di una falla all'interno del marketplace dell'OS di Google: malware camuffati da app di sistema si fanno strada sui cellulari degli utenti. E magari polimorfizzano
55 Commenti alla Notizia Il Google Wallet su Android è bucato
Ordina