 |
Адрес в интернете: https://news.hostdb.ru/index/show/id/5282 |
ИТ-специалисты раскритиковали платежную систему Google Wallet
Исследовательская компания ViaForensics говорит о том, что ее ИТ-специалистами был проведет аудит безопасности платежной системы Google Wallet, по итогам которого было установлено, что клиентское мобильное программное обеспечение данной системы хранит множество клиентской информации в виде незашифрованного текста в памяти мобильных устройств, а это делает пользователей Google Wallet уязвимыми перед различными типами атак.
Также ViaForensics установила, что в процессе передачи данных по NFC-каналу Google Wallet передает ряд данных из электронных кошельков пользователей незашифрованном виде, что также ставит пользователей под удар хакеров, охотящихся за чужими персональными данными. Напомним, что на данный момент клиент Google Wallet существует под операционную систему Google Android.
Исследователям удалось установить, что такие сведения, как имя держателя карты, даты транзакций, места покупок, адрес пользователя, дата истечения карты и баланс счета Google Wallet хранит в незашифрованном виде. "Хотя полный номер банковской карты в системе скрыт, последние четыре цифры карты хранятся в текстовом виде в локальной базе данных SQLite", - говорят в ViaForensics.
По словам Марка Боуэра, вице-президента компании ViaForensics, сейчас вероятность успешной атаки на пользователей Google Wallet можно оценивать как достаточно высокую. "Конечно, система не предоставляет полный доступ к данным, но даже имеющихся ограниченных данных хакерам вполне достаточно для проведения мошеннических атак", - говорит он.
"Учитывая волну последних атак, нас несколько удивило, что Google не зашифровала локально хранящиеся данные своей платежной системы", - говорит он.
Для аудита Google Wallet компания использовала Android-версию системы 1.0-R33v6, тогда как буквально на днях Google выпустила для тестирования предварительный вариант версии 1.1-R41v8. В обновлении поддерживается возможности транзакций в случае аварийного завершения программы, возможность восстановления потерянной информации, а также дополнительная защита от атак типа man-in-the-middle.
Распечатано с HostDB.ru.