Des experts dévoilent deux vulnérabilités concernant Google Wallet

Des spécialistes en sécurité viennent de découvrir plusieurs vulnérabilités dans le système de paiement Google Wallet. Vidéos à l'appui, ils démontrent que le service conserve en clair le code PIN permettant de réaliser des transactions. De même, si les données sont effacées, un nouveau code PIN est attribué sans aucune vérification sur le véritable détenteur du compte.

00FA000004299352-photo-google-wallet-logo.jpg
L'éditeur de sécurité zveloLABS a publié une note montrant certaines failles du service de paiement Google Wallet (disponible aux Etats-Unis et utilisant la technologie sans contact NFC). Il explique que le service stocke en clair le hash du code PIN utilisé pour sécuriser une transaction. Selon l'ingénieur Joshua Rubin, il est donc ensuite possible de retrouver ce code.

En effet, un code PIN est composé de 4 chiffres, il n'existe donc que 10 000 combinaisons de chiffres possibles. Rubin explique qu'une attaque par force brute pourrait permettre de trouver rapidement ce code de sécurité. Un pirate pourrait alors, s'il est en possession du smartphone, tenter d'accéder au compte Wallet de la victime. zveloLABS précise que la division de Google chargée de la sécurité est au courant de la faille.

En attendant une mise à jour de sécurité, une seconde vulnérabilité a été publiée par The Smartphone Champ. Le site explique qu'aucune protection n'existe si un utilisateur souhaite procéder à l'effacement de l'ensemble des données de l'application. Un nouveau code PIN est fourni et permet ainsi de se connecter à nouveau au service afin d'effectuer de nouveaux paiements.

Un pirate possédant le smartphone pourrait donc facilement se procurer ce code pour réaliser de nouveaux paiements. De son côté, Google a indiqué avoir temporairement désactivé l'approvisionnement des comptes. La firme devrait prochainement publier un correctif de sécurité.

Modifié le 01/06/2018 à 15h36
Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
0
0

Actualités récentes

Un bug affecte Microsoft Defender et crée des milliers de fichiers
Cette fois il atterrit ! SpaceX réussit le vol d'essai de Starship SN15
Facebook désactive le compte de Signal après une publicité alertant sur l'utilisation des données personnelles
Bon plan VPN et antivirus : Sécurisez tous vos appareils avec le pack d’Avast
Icedrive : 10 Go de stockage cloud gratuits
Gamescom : l'édition 2021 se fera au final uniquement au format vidéo
FLoC, le descendant des cookies tiers de Google : c’est quoi en fait ?
House of the Dragon, le prequel de Game of Thrones, dévoile ses premières images
Cloudpunk annonce un premier DLC ambitieux, City of Ghosts, pour
Blue Origin lance une vente aux enchères pour devenir le premier touriste spatial à bord de New Shepard
Haut de page