Después de que ViaForensics identificara varias vulnerabilidades en Google Wallet que pueden ser utilizadas por cibercriminales para lanzar ataques de ingeniería social con el propósito de obtener información sensible, investigadores de zvelo encontraron un problema aún mayor que expone el PIN del software a ataques de fuerza bruta.

Los expertos no sólo confirmaron los hallazgos de viaForensics, sino que también encontraron una forma de dejar al descubierto los 4 dígitos del PIN ingresados por los usuarios para autenticar y entrar al Secure Element(SE), un dispositivo que almacena y cifra la mayoría de los datos sensibles.

Actualmente, este PIN es la métrica específica de extra seguridad para los sistemas Near-Field Communication (NFC), un componente que no está presente en las tradicionales tarjetas de crédito. La característica asegura que Google Wallet  se bloquee después de unos pocos intentos fallidos para proteger los datos de la tarjeta de crédito.

Después de un vistazo en la base de datos de Wallet, los expertos encontraron una tabla llamada metadata, la cual contiene un registro identificado con deviceInfo. Después de hacer que los datos se compilaran a través de los propios "Protocol Buffers" de Google, con la ayuda de un archivo personalizado .proto, controlaron el acceso a los contenidos de los datos en binario.

Entre otras cosas, como en el Identificador de Usuario Único, la información de cuenta de Google, la información de cuenta de nube para dispositivos de mensajería, y el estado de configuración de Google Wallet, los investigadores se encontraron con una sección de información del PIN que contenía un long integer salt y un SHA256 hex cifrado de un hash.

Para conocer que el PIN sólo compromete 4 dígitos, se las arreglaron para revelar el código de acceso de manera fácil con la ayuda de un ataque de fuerza bruta. El ataque les permitió adivinar el PIN con un único intento, les dio el acceso a la mayoría de los datos sensibles almacenados en Google Wallet.

Google se apresuró retomar el tema, pero se encontró con algunos obstáculos. El principal impedimento ocurrió después de que los fabricantes de SE actualizaran, aprobaran y firmaran el código.

Para resolver el problema tenían que migrar la verificación del PIN dentro de la SE misma. Así, los bancos se dieron a la tarea de proteger el PIN.

"Actualmente, la decisión está en manos de los bancos. Posiblemente elijan aceptar el riesgo impuesto por esta vulnerabilidad, mejor dicho enfrenten las consecuencias financieras y administrativas generales que permitan a Google liberar una solución adecuada (y de este modo poner sobre aviso a los bancos respecto a la seguridad del PIN)", dijo Joshua Rubin, de zvelo.

Mientras tanto, los usuarios pueden protegerse contra esta vulnerabilidad no rooteando sus teléfonos celulares, habilitando el bloqueo de pantalla, deshabilitando el USB debugging, y finalmente, mantener su dispositivo actualizado.

Observe el video acerca de este tema.