Как сообщает компания Zvelo, специализирующаяся на разработке технологий в области IT-безопасности, в платежной системе Google Wallet содержится уязвимость, позволяющая хакерам получить доступ к PIN-коду смартфона.

Перед осуществлением денежной транзакции с помощью Google Wallet, система требует, чтобы пользователь ввел четырехзначный PIN-код. Исследователи Zvelo выяснили, что PIN-код в виде хэша хранится в памяти смартфона и его можно расшифровать с помощью брут-форс атаки. Злоумышленникам известно, что PIN-код состоит из четырех цифр, а для его шифрования используется известный алгоритм SHA256. Соответственно, чтобы найти пароль, им необходимо перебрать десять тысяч возможных хэшей и сравнить их с тем, что храниться в памяти смартфона. Эксперт компании Джошуа Рубин (Joshua Rubin) заявил, что такие вычисления не являются проблемой даже для такого устройства, как смартфон.

Также специалисты Zvelo отметили, что для осуществления взлома, злоумышленникам необходимо получить root-доступ к устройству, что позволит обратиться к той части памяти смартфона, где храниться PIN-код. После этого с помощью специального приложения можно легко найти хэш и подобрать PIN-код.

Отметим, что на данный момент риск массовой атаки невелик, поскольку платежная система Google Wallet работает только в США и только на смартфоне Samsung Nexus S 4G, в версии с контрактом мобильного оператора Sprint.