Điện thoại

Google Wallet: mất điện thoại là mất sạch tiền

Google Wallet: mất điện thoại là mất sạch tiền

Không lâu sau khi giới bảo mật phát hiện về lỗ hổng bảo mật tồn tại bên trong ví điện tử Google Wallet, người ta tiếp tục khám phá cơ chế thanh toán bằng điện thoại này bộc lộ nhiều điểm không ổn khác.

Không cần bẻ khóa, mã PIN vẫn lộ

Bằng cách lợi dụng một lỗ hổng bên trong hệ điều hành Linux, Hãng bảo mật Zvelo tìm được cách vượt qua hệ thống bảo vệ mã PIN của Google Wallet mà không đòi hỏi việc root (*) thiết bị như trước.

Zvelo chính là đơn vị đã khám phá vấn đề bảo mật tồn tại trong mã PIN được lưu trữ vật lí bên trong các thiết bị Android có chức năng NFC.

(*) “Root” là thuật ngữ chỉ việc xâm nhập và thực hiện các thay đổi bên trong hệ thống gốc của thiết bị phần cứng. Hầu hết hãng sản xuất thiết bị di động thường không khuyến khích việc làm này do có thể dẫn đến nhiều lỗi về hệ thống, hoạt động của thiết bị cũng như bị từ chối bảo hành.

Việc root máy thường đồng nghĩa với xóa sạch mọi dữ liệu bên trong thiết bị, do đó Google thường khuyến cáo khách hàng không nên sử dụng dịch vụ Wallet trên những thiết bị như vậy. Nhưng bằng cách khai thác một lỗ hổng khác thuộc hệ điều hành Linux vốn tồn tại trong phiên bản Android 4.0, kẻ tấn công có thể tiếp cận với dữ liệu gốc của thiết bị mà không phải xóa bỏ bất cứ dữ liệu nào.

Google chưa đưa ra bình luận nào về phát hiện mới nhất của Zvelo. Trước đó, Google phải tạm thời đóng cửa dịch vụ sau khi thông tin về việc mã PIN của người sở hữu thiết bị có thể bị đánh cắp dễ dàng lan truyền rộng rãi trên Internet.

Chỉ cần reset có mã PIN mới

Một cuộc nghiên cứu vừa được các chuyên gia bảo mật tại Hãng ViaForensics tiến hành cho thấy ứng dụng Wallet do Google phát triển tồn tại nhiều rủi ro về bảo mật khá nghiêm trọng. Cụ thể, trong cuộc thí nghiệm được tiến hành trên một thiết bị đã được “root”, người ta thử nghiệm ba phương pháp tấn công hệ thống an ninh của Wallet: phương thức man-in-the-middle (**), phân tích dữ liệu pháp y lưu trữ trên một thiết bị và cuối cùng giám định bản lưu hệ thống.

(**) “Man-in-the-middle”, còn có tên gọi khác là bucket-brigade attack hoặc Janus attack, đều để chỉ cách thức tấn công, trong đó tin tặc đánh lừa hoàn toàn thị giác của nạn nhân thông qua một trang web giả mạo có giao diện giống hệt trang web mà người này mong muốn truy cập.

Đầu tiên, phương thức man-in-the-middle (MitM) nhanh chóng tỏ ra thất bại trước Wallet.

Trong phương thức tấn công tiếp theo, phân tích dữ liệu pháp y (forensic analysis), mọi chuyện trở nên hấp dẫn hơn khi đường dẫn thuộc bộ nhớ đệm của ứng dụng Wallet để lộ hình ảnh một vài thẻ tín dụng, trong đó thông tin rõ ràng nhất là ngày tháng hết hạn của thẻ. Nhưng trước khi các chuyên gia có thể đi sâu hơn trong phương thức thử nghiệm tấn công thứ hai này, Google kịp tung ra bản cập nhật khắc phục lỗ hổng vừa nêu.

Cuối cùng, phương pháp giám định bản lưu hệ thống làm lộ ra những thông tin quan trọng nhất của chủ thiết bị bao gồm số dư tín dụng, hạn mức tín dụng, ngày hết hạn của thẻ, tên chủ sở hữu thẻ cùng ngày giờ và vị trí các giao dịch. Mọi dữ liệu này đều không được mã hóa, do đó mang lại rủi ro rất lớn cho “khổ chủ”.

Google Wallet: mất điện thoại đồng nghĩa với mất sạch tiền

Sau diễn đàn công nghệ XDA, đến lượt một chuyên trang về di động khác là TheSmartPhoneChamp công bố luôn một video cho thấy sự dễ dàng trong việc đánh cắp tài khoản của người làm mất điện thoại có cài đặt Google Wallet.

Giao tiếp với máy quét qua công nghệ NFC để dùng Google Wallet - Ảnh minh họa: Internet

Nếu sử dụng dịch vụ Google Wallet, việc đánh mất điện thoại đồng nghĩa với mất sạch tiền trong tài khoản của mình.

Cụ thể, chỉ cần khởi động lại Google Wallet, ứng dụng này sẽ hỏi một mã PIN mới, lúc này bất cứ ai cũng có thể nhập… bất cứ dãy PIN nào người đó muốn. Và thế là “đi đời” tài khoản tín dụng của chủ nhân chiếc điện thoại bị mất cắp.

Cụ thể, Google Wallet gắn kết sự truy cập tài khoản tín dụng vào thẳng bên trong lõi thiết bị. Điều này nhằm đảm bảo bạn, với tư cách chủ nhân hợp pháp của chiếc điện thoại, có thể truy cập tài khoản cá nhân theo cách dễ dàng và thuận tiện nhất. Thông qua công nghệ NFC (giao tiếp vùng gần), người dùng chỉ cần quét chiếc điện thoại đã cài đặt Google Wallet gần một thiết bị đọc quét chuyên dụng rồi nhập mã PIN là có thể thanh toán mọi thứ mà không cần đến thẻ tín dụng truyền thống. Trớ trêu thay, toàn bộ sự thuận tiện này cũng là “con dao hai lưỡi” khi cho phép bất cứ ai cũng có thể thay đổi mã PIN trên chiếc điện thoại đó.