Google WalletのPINを見られてしまうAndroidハックが出現

次の記事

2011のAPIの傾向: 政府系APIは5倍増; 上位人気はFacebook, Google, Twitter

ハッキング行為はどれも手順が相当面倒くさいし、このAndroid上のGoogle WalletのPINを見つけるやつもその例外ではない。が、人騒がせであることには変わりない。Googleはすでにこのハックを知っており、対策中だ。ZveloのJoshua Rubinが発見したこのハックは、Google Walletへのこれまでの攻撃の中で、いちばんおもしろいものの一つだ。

簡単に言うとこのハックは、クレジットカードのデータと購買履歴にアクセスし、ハッカーがそのGoogle Wallet口座を勝手に使えるようになる。 しかしそのためには、Androidへの完全なrootアクセスが必要だ。そしてハッカーのやることは、ある小さなプログラムを使ってごく単純にファイルを開くだけだ。そこにPINが記載されているから、Walletを使えるようになる。

あなたの携帯を盗んで、それにrootでアクセスするのは簡単だ。Rubinは、こんなアドバイスをしている:

あなたの携帯電話を“Root”にしてはいけない。それは盗人の仕事を一歩楽にする。画面ロックをせよ。“Face Unlock”、“Pattern”、“PIN”、“Password”…これらはすべて携帯電話の物理的なセキュリティを強化する。“Slide”は、だめだ。USBデバッグを不能にせよ。可能になっていたら、画面ロックを破らなくてもモバイルデバイス上のデータにアクセスできる(Full Disk Encryptionがyesになっていなければ)。言い換えるとEnable Full Disk Encryptionは、USBデバッグが画面ロックをバイパスすることを防ぐ。デバイスをつねに、最新状態に保て。ソフトウェアの公式アップデートは必ずやること。残念ながら、自分から進んでそれをやるユーザは少ない。なにもかもキャリアや携帯のメーカーまかせだ。しかし脆弱性を減らし全体的なセキュリティを強化するには、最新の公式ソフトウェアだけを使うのがベストのやり方だ。

Googleがおすすめしているのは、Google Walletが携帯にある人は855-492-5538に電話をして、プリペイドカードを不能化してもらうこと。画面ロックも、Googleは推奨している。

アップデート – Googleによれば、rootの携帯電話上ではGoogle Wallet がサポートされない。Googleの説明は:

“Zveloの実験は自己の保有機で行われ、デバイスをrootにすることによって、Google Walletを保護しているセキュリティの仕組みを不能にした。しかし今日までは、任意の市販機で、PINのようなWallet情報を保持したままrootアクセスできるような既知の脆弱性は存在しない。弊社は、rootした/されたデバイスにGoogle Walletをインストールしないことと、携帯電話のセキュリティをより強化する層としてつねに画面ロックをセットアップすることを、強力に推奨する。”

[原文へ]
[jpTechCrunch最新記事サムネイル集]
[米TechCrunch最新記事サムネイル集]
(翻訳:iwatani(a.k.a. hiwa))