Sintesi dei risultati di Google Wallet sicurezza

Così, in sintesi, qui sono le voci di nota dalla mia analisi di alto livello. Tenete a mente questo non è neanche lontanamente al livello di test un app del genere merita, ma dato che questo è fatto il nostro tempo, è tutto quello che potevo gestire fino ad ora. Comunque, va qui:

Una discreta quantità di dati sono memorizzati in varie banche dati di SQLite tra cui l'equilibrio delle carte di credito, limiti, data di scadenza, nome sulla scheda, date e sedi delle transazioni e molto altro ancora.

Il nome sulla carta, la data di scadenza, scorso 4 cifre della carta e account di posta elettronica sono tutti recuperabili

[Corretto nella versione 1.1-R41v8] Quando le transazioni vengono eliminate o Google Wallet è resettato, i dati sono ancora recuperabili.

Il tracciamento di Google Analytics fornisce intuizioni l'attività di Google Wallet. Anche se so che le tracce di Google quello che faccio, è un po 'frustrante per trovare sparsi ovunque e forse in un modo che può essere intercettato sul filo (non SSL richiesta GET) o al telefono (i registri, basi di dati, e così via.)

[Corretto nella versione 1.0-R33v6] L'applicazione creata un'immagine recuperabile della mia carta di credito che ha dato via un po 'di informazioni più del necessario (nome, data di scadenza e l'ultima 4 cifre).Anche se questo non è sufficiente per utilizzare una carta di, è abbastanza probabile per lanciare un attacco di social engineering.

Mentre Google Wallet fa un lavoro decente sicuro il vostro pieno numeri carte di credito (non è insicuro memorizzato e un codice PIN necessario per accedere alle carte per autorizzare i pagamenti), la quantità di dati che Google memorizza Portafoglio in chiaro sul dispositivo è significativo (praticamente tutto tranne il primo 12 cifre della vostra carta di credito). Molti consumatori non trovano accettabile se la gente sapesse il loro saldo della carta di credito o limiti. Ulteriormente, la capacità di utilizzare questi dati in un attacco di ingegneria sociale contro il consumatore direttamente o da un provider è piuttosto elevato. Per esempio, se io so il tuo nome, quando hai usato la carta di recente, scorso 4 cifre e la data di scadenza, Sono abbastanza fiducioso di poter utilizzare le informazioni a mio vantaggio. Quando si aggiungono dati che sono generalmente disponibili online (ad esempio l'indirizzo di qualcuno), un attaccante è ben armato per un attacco di successo ingegnere sociale.

E questo test è stato in realtà solo di altissimo livello. Analisi di sicurezza di gran lunga più sofisticato e completo è necessaria per determinare se le vulnerabilità sono presenti altri. Oltre, consumatori in modo consapevole privacy capire che l'analisi quasi tutto quello che si utilizza Google Wallet è fondamentalmente per il prezzo da pagare per il servizio. Per un punto di vista tecnologico, E 'molto emozionante vedere Google Wallet in produzione. Tuttavia, è sempre stata la posizione viaForensics 'che il rischio più grande di sicurezza da utilizzare applicazioni NFC non derivano dalla tecnologia di base NFC ma invece le applicazioni che utilizzano la tecnologia. In questo caso, la quantità di dati non crittografati negozio da parte di Google Wallet supera ciò che noi crediamo la maggior parte dei consumatori trovano accettabile.

attraverso Sicurezza analisi forense di Google Wallet - viaForensics «viaForensics.