Không cần bẻ khóa, mã PIN vẫn lộ
Bằng cách lợi dụng một lỗ hổng bên trong hệ điều hành Linux, Hãng bảo mật Zvelo tìm được cách vượt qua hệ thống bảo vệ mã PIN của Google Wallet mà không đòi hỏi việc root (*) thiết bị như trước.
 Phóng to |
| Ảnh minh họa: Internet |
Zvelo chính là đơn vị đã khám phá vấn đề bảo mật tồn tại trong mã PIN được lưu trữ vật lý bên trong các thiết bị Android có chức năng NFC.
|
(*) “Root” là thuật ngữ chỉ việc xâm nhập và thực hiện các thay đổi bên trong hệ thống gốc của thiết bị phần cứng. Hầu hết hãng sản xuất thiết bị di động thường không khuyến khích việc làm này do có thể dẫn đến nhiều lỗi về hệ thống, hoạt động của thiết bị cũng như bị từ chối bảo hành. |
Google chưa đưa ra bình luận nào về phát hiện mới nhất của Zvelo. Trước đó, Google phải tạm thời đóng cửa dịch vụ sau khi thông tin về việc mã PIN của người sở hữu thiết bị có thể bị đánh cắp dễ dàng lan truyền rộng rãi trên Internet.
Chỉ cần reset có mã PIN mới
Một cuộc nghiên cứu vừa được các chuyên gia bảo mật tại Hãng ViaForensics tiến hành cho thấy ứng dụng Wallet do Google phát triển tồn tại nhiều rủi ro về bảo mật khá nghiêm trọng. Cụ thể, trong cuộc thí nghiệm được tiến hành trên một thiết bị đã được “root”, người ta thử nghiệm ba phương pháp tấn công hệ thống an ninh của Wallet: phương thức man-in-the-middle (**), phân tích dữ liệu pháp y lưu trữ trên một thiết bị và cuối cùng giám định bản lưu hệ thống.
 Phóng to |
| Ảnh minh họa: Internet |
|
(**) “Man-in-the-middle”, còn có tên gọi khác là bucket-brigade attack hoặc Janus attack, đều để chỉ cách thức tấn công, trong đó tin tặc đánh lừa hoàn toàn thị giác của nạn nhân thông qua một trang web giả mạo có giao diện giống hệt trang web mà người này mong muốn truy cập. |
Trong phương thức tấn công tiếp theo, phân tích dữ liệu pháp y (forensic analysis), mọi chuyện trở nên hấp dẫn hơn khi đường dẫn thuộc bộ nhớ đệm của ứng dụng Wallet để lộ hình ảnh một vài thẻ tín dụng, trong đó thông tin rõ ràng nhất là ngày tháng hết hạn của thẻ. Nhưng trước khi các chuyên gia có thể đi sâu hơn trong phương thức thử nghiệm tấn công thứ hai này, Google kịp tung ra bản cập nhật khắc phục lỗ hổng vừa nêu.
Cuối cùng, phương pháp giám định bản lưu hệ thống làm lộ ra những thông tin quan trọng nhất của chủ thiết bị bao gồm số dư tín dụng, hạn mức tín dụng, ngày hết hạn của thẻ, tên chủ sở hữu thẻ cùng ngày giờ và vị trí các giao dịch. Mọi dữ liệu này đều không được mã hóa, do đó mang lại rủi ro rất lớn cho “khổ chủ”.
Google Wallet: mất điện thoại đồng nghĩa với mất sạch tiền
Sau diễn đàn công nghệ XDA, đến lượt một chuyên trang về di động khác là TheSmartPhoneChamp công bố luôn một video cho thấy sự dễ dàng trong việc đánh cắp tài khoản của người làm mất điện thoại có cài đặt Google Wallet.
 Phóng to |
| Giao tiếp với máy quét qua công nghệ NFC để dùng Google Wallet - Ảnh minh họa: Internet |
|
Nếu sử dụng dịch vụ Google Wallet, việc đánh mất điện thoại đồng nghĩa với mất sạch tiền trong tài khoản của mình. |
Cụ thể, Google Wallet gắn kết sự truy cập tài khoản tín dụng vào thẳng bên trong lõi thiết bị. Điều này nhằm đảm bảo bạn, với tư cách chủ nhân hợp pháp của chiếc điện thoại, có thể truy cập tài khoản cá nhân theo cách dễ dàng và thuận tiện nhất. Thông qua công nghệ NFC (giao tiếp vùng gần), người dùng chỉ cần quét chiếc điện thoại đã cài đặt Google Wallet gần một thiết bị đọc quét chuyên dụng rồi nhập mã PIN là có thể thanh toán mọi thứ mà không cần đến thẻ tín dụng truyền thống. Trớ trêu thay, toàn bộ sự thuận tiện này cũng là “con dao hai lưỡi” khi cho phép bất cứ ai cũng có thể thay đổi mã PIN trên chiếc điện thoại đó.
| Video clip lỗ hổng bảo mật của Google Wallet qua đoạn video sau (Nguồn: YouTube) |
Đăng ký tại đây
Bình luận hay