Hace dos días se anunció un grave problema de seguridad de Google Wallet que permitía conocer el PIN que protege las transacciones si el usuario las realizaba desde un móvil Android rooteado. Parece que el problema está en que en estos dispositivos el PIN se almacena en el propio teléfono en lugar de en el chip NFC. Eso quiere decir que si te roban el teléfono, podrán acceder al archivo donde se encuentra. Ese archivo está encriptado, pero hay métodos para burlar esa encriptación.
Google publicó un comunicado oficial sobre esta vulnerabilidad y dijo más o menos lo que se esperaba: que si se rootea el teléfono se pierden los mecanismos de seguridad que protegen a Google Wallet. Por lo tanto, Google aconseja a la gente que no instale Wallet en teléfonos rooteados y que siempre tengan una pantalla de desbloqueo con algún tipo de protección para mayor seguridad.
Justo un día después se ha sabido que Google Wallet podría tener otro problema de seguridad que, en este caso, afectaría a todos los dispositivos. Si alguien se hace con nuestro teléfono, puede acceder a Google Wallet, borrar los datos existentes e iniciar una nueva configuración enlazando Wallet a su cuenta de Google. El problema es que la aplicación permite añadir de nuevo la tarjeta prepago por defecto y como Google Wallet depende del propio hardware y no de una cuenta, añade la misma tarjeta prepago que estaba presente antes de borrar los datos. Vamos, que el ladrón tendría acceso a nuestra tarjeta prepago con los fondos que todavía tuviese.
Google también ha respondido ante esta vulnerabilidad y ha reconocido el problema. Ya están trabajando en una solución, pero vuelven a recomendar lo de usar una pantalla de bloqueo segura y ofrecen un número de teléfono gratuito al que llamar para desactivar la tarjeta prepago en el caso de perder el teléfono o de querer regalarlo.
Vía | theverge.com