Ringkasan temuan keamanan Google Dompet

Jadi, dalam ringkasan, di sini adalah item catatan dari analisis tingkat tinggi Ingatlah saya ini adalah tempat di dekat tingkat pengujian sebuah aplikasi seperti ini layak. tapi karena hal ini dilakukan pada waktu kita sendiri, itu semua aku bisa mengelola sejauh ini. Pokoknya, here goes:

Sebuah jumlah yang wajar data disimpan dalam database SQLite berbagai termasuk saldo kartu kredit, batas, tanggal kadaluwarsa, nama di kartu, transaksi tanggal dan lokasi dan lebih.

Nama pada kartu, tanggal kedaluwarsa, terakhir 4 kartu digit dan akun email semua dipulihkan

[Tetap dalam Versi 1.1-R41v8] Ketika transaksi akan dihapus atau Google Dompet-reset, data masih dipulihkan.

Pelacakan Google Analytics memberikan wawasan ke dalam kegiatan Dompet Google. Sementara aku tahu trek Google apa yang saya lakukan, itu sedikit frustasi untuk menemukannya tersebar di mana-mana dan mungkin dengan cara yang dapat dicegat pada kawat (non-SSL permintaan GET) atau pada telepon (log, database, dll)

[Tetap dalam Versi 1.0-R33v6] Aplikasi ini menciptakan citra dipulihkan kartu kredit saya yang membagi-bagikan info lebih sedikit dari yang dibutuhkan (Nama, tanggal kedaluwarsa dan terakhir 4 digit).Meskipun hal ini tidak cukup untuk menggunakan kartu, kemungkinan cukup untuk meluncurkan serangan rekayasa sosial.

Sementara Google Dompet melakukan pekerjaan yang layak penuh mengamankan kartu kredit Anda nomor (tidak insecurely disimpan dan PIN diperlukan untuk mengakses kartu untuk mengotorisasi pembayaran), jumlah data yang tidak terenkripsi Google Dompet menyimpan pada perangkat tersebut signifikan (cukup banyak semuanya kecuali yang pertama 12 digit kartu kredit Anda). Banyak konsumen tidak akan menemukannya diterima jika orang tahu kartu kredit mereka keseimbangan atau batas. Lanjut, kemampuan untuk menggunakan data ini dalam serangan rekayasa sosial terhadap konsumen secara langsung atau penyedia adalah cukup tinggi. Misalnya, jika saya tahu nama Anda, ketika Anda sudah menggunakan kartu Anda baru-baru, terakhir 4 digit dan tanggal kadaluarsa, Aku cukup yakin saya dapat menggunakan informasi tersebut untuk keuntungan saya. Bila Anda menambahkan data yang umumnya tersedia secara online (seperti alamat seseorang), penyerang bersenjata baik untuk serangan insinyur yang sukses sosial.

Dan pengujian ini benar-benar hanya tingkat yang sangat tinggi. Analisis keamanan jauh lebih canggih dan komprehensif dibutuhkan untuk menentukan apakah kerentanan lain yang hadir. Selain itu, privasi konsumen sadar sehingga mengerti bahwa menganalisa hampir semua yang anda untuk menggunakan Google Dompet pada dasarnya adalah harga yang Anda bayar untuk layanan ini. Untuk sudut pandang teknologi, itu sangat menarik untuk melihat Google Wallet di produksi. Namun, itu secara konsisten telah posisi viaForensics 'bahwa risiko keamanan terbesar dari aplikasi dengan menggunakan NFC tidak berasal dari inti teknologi NFC melainkan aplikasi yang menggunakan teknologi. Dalam hal ini, jumlah menyimpan data terenkripsi oleh Google Dompet melampaui apa yang kami percaya konsumen yang paling dapat diterima.

melalui Analisis forensik keamanan Google Dompet - viaForensics «viaForensics.