thông báo diễn đàn chuyển sang tên miền www.bodesontra.net

You are not connected. Please login or register

Xem chủ đề cũ hơn Xem chủ đề mới hơn Go down  Thông điệp [Trang 1 trong tổng số 1 trang]

Admin

Admin
Chủ Tịch Forum
Chủ Tịch Forum
hông lâu sau khi giới bảo mật phát hiện về lỗ hổng bảo mật tồn tại bên trong ví điện tử Google Wallet, người ta tiếp tục khám phá cơ chế thanh toán bằng điện thoại này bộc lộ nhiều điểm không ổn khác.

Không cần bẻ khóa, mã PIN vẫn lộ
Bằng cách lợi dụng một lỗ hổng bên trong hệ điều hành Linux, Hãng bảo mật Zvelo tìm được cách vượt qua hệ thống bảo vệ mã PIN của Google Wallet mà không đòi hỏi việc root (*) thiết bị như trước.
[You must be registered and logged in to see this image.]

Zvelo chính là đơn vị đã khám phá vấn đề bảo mật tồn tại trong mã PIN được lưu trữ vật lí bên trong các thiết bị Android có chức năng NFC.

(*) “Root” là thuật ngữ chỉ việc xâm nhập và thực hiện các thay đổi bên trong hệ thống gốc của thiết bị phần cứng. Hầu hết hãng sản xuất thiết bị di động thường không khuyến khích việc làm này do có thể dẫn đến nhiều lỗi về hệ thống, hoạt động của thiết bị cũng như bị từ chối bảo hành.
Việc root máy thường đồng nghĩa với xóa sạch mọi dữ liệu bên trong thiết bị, do đó Google thường khuyến cáo khách hàng không nên sử dụng dịch vụ Wallet trên những thiết bị như vậy. Nhưng bằng cách khai thác một lỗ hổng khác thuộc hệ điều hành Linux vốn tồn tại trong phiên bản Android 4.0, kẻ tấn công có thể tiếp cận với dữ liệu gốc của thiết bị mà không phải xóa bỏ bất cứ dữ liệu nào.

Google chưa đưa ra bình luận nào về phát hiện mới nhất của Zvelo. Trước đó, Google phải tạm thời đóng cửa dịch vụ sau khi thông tin về việc mã PIN của người sở hữu thiết bị có thể bị đánh cắp dễ dàng lan truyền rộng rãi trên Internet.

Chỉ cần reset có mã PIN mới
Một cuộc nghiên cứu vừa được các chuyên gia bảo mật tại Hãng ViaForensics tiến hành cho thấy ứng dụng Wallet do Google phát triển tồn tại nhiều rủi ro về bảo mật khá nghiêm trọng. Cụ thể, trong cuộc thí nghiệm được tiến hành trên một thiết bị đã được “root”, người ta thử nghiệm ba phương pháp tấn công hệ thống an ninh của Wallet: phương thức man-in-the-middle (**), phân tích dữ liệu pháp y lưu trữ trên một thiết bị và cuối cùng giám định bản lưu hệ thống.
[You must be registered and logged in to see this image.]
Đầu tiên, phương thức man-in-the-middle (MitM) nhanh chóng tỏ ra thất bại trước Wallet.

Trong phương thức tấn công tiếp theo, phân tích dữ liệu pháp y (forensic analysis), mọi chuyện trở nên hấp dẫn hơn khi đường dẫn thuộc bộ nhớ đệm của ứng dụng Wallet để lộ hình ảnh một vài thẻ tín dụng, trong đó thông tin rõ ràng nhất là ngày tháng hết hạn của thẻ. Nhưng trước khi các chuyên gia có thể đi sâu hơn trong phương thức thử nghiệm tấn công thứ hai này, Google kịp tung ra bản cập nhật khắc phục lỗ hổng vừa nêu.

Cuối cùng, phương pháp giám định bản lưu hệ thống làm lộ ra những thông tin quan trọng nhất của chủ thiết bị bao gồm số dư tín dụng, hạn mức tín dụng, ngày hết hạn của thẻ, tên chủ sở hữu thẻ cùng ngày giờ và vị trí các giao dịch. Mọi dữ liệu này đều không được mã hóa, do đó mang lại rủi ro rất lớn cho “khổ chủ”.

Google Wallet: mất điện thoại đồng nghĩa với mất sạch tiền
Sau diễn đàn công nghệ XDA, đến lượt một chuyên trang về di động khác là TheSmartPhoneChamp công bố luôn một video cho thấy sự dễ dàng trong việc đánh cắp tài khoản của người làm mất điện thoại có cài đặt Google Wallet.[You must be registered and logged in to see this image.]
Giao tiếp với máy quét qua công nghệ NFC để dùng Google Wallet - Ảnh minh họa: Internet
Nếu sử dụng dịch vụ Google Wallet, việc đánh mất điện thoại đồng nghĩa với mất sạch tiền trong tài khoản của mình.
Cụ thể, chỉ cần khởi động lại Google Wallet, ứng dụng này sẽ hỏi một mã PIN mới, lúc này bất cứ ai cũng có thể nhập… bất cứ dãy PIN nào người đó muốn. Và thế là “đi đời” tài khoản tín dụng của chủ nhân chiếc điện thoại bị mất cắp.

Cụ thể, Google Wallet gắn kết sự truy cập tài khoản tín dụng vào thẳng bên trong lõi thiết bị. Điều này nhằm đảm bảo bạn, với tư cách chủ nhân hợp pháp của chiếc điện thoại, có thể truy cập tài khoản cá nhân theo cách dễ dàng và thuận tiện nhất. Thông qua công nghệ NFC (giao tiếp vùng gần), người dùng chỉ cần quét chiếc điện thoại đã cài đặt Google Wallet gần một thiết bị đọc quét chuyên dụng rồi nhập mã PIN là có thể thanh toán mọi thứ mà không cần đến thẻ tín dụng truyền thống. Trớ trêu thay, toàn bộ sự thuận tiện này cũng là “con dao hai lưỡi” khi cho phép bất cứ ai cũng có thể thay đổi mã PIN trên chiếc điện thoại đó.

http://www.bodesontra.net

Xem chủ đề cũ hơn Xem chủ đề mới hơn Về Đầu Trang  Thông điệp [Trang 1 trong tổng số 1 trang]

Permissions in this forum:
Bạn không có quyền trả lời bài viết

Đang kiểm tra dữ liệu...

Bạn phải điền đầy đủ thông tin đăng ký.

Số ký tự phải từ 6 trở lên
Hãy chọn tài khoản khác
Có thể dùng tài khoản này
Không sử dụng địa chỉ này
E-mail sẽ được kiểm sau
Số ký tự phải từ 6 trở lên
Trùng tên đăng nhập
Chưa đúng
Chính xác

 

Domain : Trịnh Bá Chính
2013 Converted Forumtion by : An Hùng