Резюме Google Wallet выводы безопасности

Так, в резюме, Здесь предметы записка от моей средней анализ уровня. Имейте в виду, что это далеко не уровень тестирования приложений, как это заслуживает, но поскольку это делается в наше время, это все, что мне удалось до сих пор. любом случае, здесь идет:

Изрядное количество данных, хранящихся в различных базах данных SQLite, включая кредитные карты баланс, рамки, срок годности, Имя владельца карты, сделки даты и места и многое другое.

Имя на карте, срок годности, последний 4 карта цифр и учетной записи электронной почты все извлекаемые

[Решен в версии 1.1-R41v8] При операции удаления или Google Wallet сбрасывается, Данные по-прежнему извлекаемые.

Отслеживания Google Аналитические дает представление о деятельности Бумажник Google. Хотя я знаю, Google отслеживает, что я делаю, это немного расстраивает, чтобы найти его разбросаны повсюду и, возможно, таким образом, что могут быть перехвачены на проводе (не защищенных GET запрос) или по телефону (журналы, баз данных, и так далее.)

[Решен в версии 1.0-R33v6] Приложение, созданное извлекаемые образ моей кредитной карты, которая отдала немного больше информации, чем нужно (имя, срок действия и последний 4 цифры).Хотя это не достаточно, чтобы использовать карту, это, скорее всего достаточно для запуска социальной инженерии нападения.

Хотя Google Wallet делает достойную работу обеспечения безопасности вашего полного номера кредитных карт (это не заботясь о безопасности хранения и ПИН-код, необходимый для доступа карт для авторизации платежей), объем данных, которые Google Wallet магазинов открыто на устройство значительным (почти все, кроме первого 12 цифры с вашей кредитной карты). Многие потребители не нашел бы приемлемым, если бы люди знали, что их кредитный баланс карты или ограничения. Далее, Способность использовать эти данные в социальной инженерии нападения против потребительского прямо или поставщик довольно высока. Например, если я знаю ваше имя, Если вы уже использовали карту Недавно, последний 4 цифры и срок годности, Я практически уверен, я мог бы использовать информацию в мою пользу. При добавлении данных, которые, как правило, доступны в Интернете (такие, как чей-либо адрес), атакующий хорошо вооружены для успешной социальной атаки инженер.

И это тестирование было действительно только очень высокого уровня. Гораздо более сложный и всеобъемлющий анализ безопасности необходимо, чтобы определить, если другие уязвимости присутствуют. Кроме того, неприкосновенность частной жизни сознательных потребителей, чтобы понять, что анализ почти все вы используете Google Wallet для в основном цена, которую вы платите за обслуживание. Для технологий точки зрения, это очень интересно увидеть Google Wallet в производстве. Однако, он постоянно был viaForensics позицией, что наибольший риск для безопасности от приложений с использованием технологии NFC не вытекает из основной технологии NFC, но вместо этого приложения, которые используют технологию. В этом случае, количество незашифрованные данные хранить на Google Wallet превосходит то, что мы считаем, что большинство потребителей, найти приемлемые.

через Судебно-медицинская экспертиза безопасности Google Wallet - viaForensics «viaForensics.