• Tweet

De acuerdo a viaForensics, una firma de seguridad y análisis forense estadounidense, Wallet, el sistema de pago móvil de Google, contiene diversos riesgos de seguridad. En un publicación en su blog, la compañía señaló que los resultados aún no están completados; sin embargo, el análisis arroja que "no está en absoluto al nivel de las pruebas que una aplicación como ésta debería de tener"

Con Google Wallet, los usuarios pueden pagar productos y servicios usando la tecnología “Near Field Communication (NFC)” incorporada dentro de dispositivos móviles que ejecutan el sistema operativo Android de la compañía. Esto se hace almacenando las credenciales de tarjeta de crédito o debito al teléfono del usuario, manteniendo el dispositivo equipado con NFC en una terminal de pago, e introduciendo un PIN para completar la transacción.

Ataques de hombre en medio (Man-in-the-Middle) sobre Wi-Fi fallaron cuando se registraba una nueva cuenta de Google Wallet, y cuando se agregó una tarjeta de crédito a una cuenta existente. De acuerdo a viaForensics, el software valida los certificados SSL de la contraparte y rechaza continuar si encuentra que los certificados no son válidos.

Los especialistas en forense; no obstante, hicieron algunos descubrimientos en el sistema de archivos del smartphone, aunque sólo en las áreas que requieren privilegios de root. Ahí encontraron que el número de bases de datos incluye información como balance, límite, fecha de expiración y nombre del titular de la tarjeta de crédito. Fueron capaces de descubrir cuándo y dónde se hicieron los pagos NFC, pero no pudieron descubrir más que los últimos cuatro dígitos del número de la tarjeta.

Además, los especialistas encontraron que Wallet envía una gran cantidad de datos a Google Analytics, y crea un número de entradas en los resgistros del sistema. El ataque de hombre en medio, por ejemplo, condujo a un seguimiento de la pila que se mostró en los archivos de registro, en el cual el blog menciona “no es la mejor idea para una aplicación usada frecuentemente, ya que puede dar información al atacante que necesita para avanzar en sus técnicas”.

viaForensics señala que el análisis de seguridad completo podría incluir más pruebas extensas en áreas como la implementación de NFC y el descifrado de la transferencia de datos. También, debería de intentarse un ataque en el Elemento Seguro, ya que, como un chip de la tarjeta de crédito, incluye datos particularmente sensibles, protegidos por el PIN.