Google Wallet хранит информацию о платежных картах в открытом виде

Самое долгожданное мобильное платежное приложение для Google Android хранит некоторую информацию о пользователях в нешифрованном виде, например, имена пользователей, даты транзакций, адреса электронной почты, а также, остаток на счете покупателей, говорится в исследовании, опубликованном сегодня.

Исследователи из viaForensics протестировали безопасность Google Wallet — систему, позволяющую потребителям совершать сделки по кредитным картам, выкупать подарочные сертификаты и использовать карты лояльного членства в магазинах со своих телефонов — во взломанных смартфонах Android и обнаружили, что приложение передает информацию в незашифрованном виде. Хотя Google Wallet скрывает полный номер счета кредитной карты, последние четыре цифры хранятся в текстовом формате в локальной базе данных приложения — SQLite.

Но SQLite базы данных приложения, постоянно находящиеся в телефонах Android, содержат информацию о балансе кредитной карты, лимите, сроке действия, имени владельца, дате и месте транзакции — эта информация, по словам viaForensics, может быть использована, например, для социального инжиниринга против фактического владельца счета.

Хорошей новостью, утверждают в viaForensics, является то, что приложение успешно противостоит атакам типа man-in-the-middle, и защищено PIN-кодом при операциях с картами. «Мы хвалим Google за то, что они установили PIN-код на приложение. Но, если вам нужно хранить информацию, не храните ее в формате открытого текста» — заявлено в докладе viaForensics.

Суть в том, что Google необходимо либо зашифровать все конфиденциальные данные держателей карт, либо не хранить их все локально в одном месте, посоветовал представитель viaForensics.

Тем временем Google исправил несколько других недостатков, на которые им указали viaForensics: данные после проведения транзакции или перезагрузки Wallet можно было восстановить, и это позволяло восстановить картинку с информацией об имени владельца карты, дате окончания ее действия и последних четырех цифрах в номере счета. Обе эти проблемы были исправлены в версии Wallet 1.0-R33v6.