14 febrero, 2012
Google Wallet no sólo apunta a destronar a Paypal, sino también a convertirse en un reemplazo del dinero tradicional, gestionando todos nuestros consumos a través de dispositivos móviles. Claro que para lograr eso, primero deberían solucionar fallos de seguridad tremendamente básicos, tan básicos que asustan.
En efecto, en los últimos días se reportaron dos gravísimas vulnerabilidades. La primera fue reportada en zveloBLOG y permite obtener el PIN del servicio mediante la aplicación de técnicas de fuerza bruta. Esta técnica requiere que el móvil esté “rooteado”, es decir que tengamos acceso al mismo con privilegios de administrador, algo que no resulta demasiado complicado de realizar. Si el usuario rootea su móvil, sin dudas está más expuesto, pero si no lo hace, un eventual ladrón también podría rootear el aparato y obtener el PIN mediante fuerza bruta.
La segunda vulnerabilidad es muchísimo más seria que la primera, porque la puede hacer cualquiera, directamente a través de la propia interfaz de Google Wallet y de una forma absurdamente simple. Como podemos observar en el video que publicamos a continuación, sólo basta con borrar los datos de la aplicación Google Wallet, la reiniciamos e ingresamos un nuevo PIN, que nos dará acceso a los fondos bancarios gestionados por la aplicación.
[youtube]http://www.youtube.com/watch?v=Rh1ytHrhj2E[/youtube]Realmente no podemos creer que un sistema que supuestamente aspira a administrar el dinero de millones de personas presente unas fallas tan elementales de seguridad. Y mucho menos cuando proviene de una empresa que se suponemos está repleta de programadores de excelencia, o que por lo menos saben con precisión cuántas pelotitas de golf caben en un autobús escolar.