O Google Wallet, sistema móvel de pagamentos do Google via NFC, ainda não chegou ao Brasil mas encontrou um obstáculo de segurança nos EUA: em aparelhos com root, roubar o PIN necessário para realizar pagamentos é relativamente fácil. E para resolver isso, o Google teria que deixar os bancos responsáveis pelo serviço.
Como o Wallet salva o PIN em um arquivo criptografado no celular – em vez de guardá-lo no chip NFC protegido – se seu celular cair em mãos erradas, alguém poderia obter o arquivo com o PIN e, usando força bruta, descobrir o PIN. Daí, essa pessoa poderia usar sua conta do Wallet com seu Nexus S ou Galaxy Nexus (únicos aparelhos com suporte ao serviço).
A empresa de segurança Zvelo descobriu e informou o problema ao Google, e segundo eles a empresa “foi extremamente receptiva ao problema, mas encontrou vários obstáculos que os impedem de lançar o app corrigido”. Devido à arquitetura de segurança do Wallet, a mudança exigiria uma reestruturação completa.
De acordo com a Zvelo, ao colocar o PIN no chip NFC, “o Google poderia não ser mais responsável pela segurança do PIN, e sim os próprios bancos”. Só que os bancos nos EUA não são exatamente bastiões da segurança – o Citibank é um dos grandes parceiros do Google Wallet, e ele já foi facilmente hackeado.
A falha de segurança pode ser prevenida ativando a tela de trava com senha, e desativando o modo de depuração USB (USB debugging). A Zvelo também recomenda não rootear o aparelho: “fazer isso seria um passo a menos para o ladrão”, e também permitiria ataque remoto. O próprio Google disse isso hoje em comunicado: “Nós recomendamos fortemente que o Google Wallet não seja instalado em dispositivos com root”. Espero que o Google dê um jeito nisso antes de expandir o serviço, e espero que o traga para o Brasil – há tempos eu quero fazer pagamentos com meu celular. [Zvelo via Android Central via The Verge]
