El pagar con tarjetas de crédito o mediante medios electrónicos, es un métodos que se ha propagado en los últimos años, y cada vez son mas los medios que se proporcionan para este tipo de pagos.
En un principio la desconfianza generada equivalía a un porcentaje muy alto debido a la falta de seguridad y los ataques que podrían darse a las paginas web, sin embargo poco a poco esto se ha ido solucionando, y la confianza se ha incrementado, aunque todavía quedan algunos desconfiados, que al no saber como funcionan sistemas de la índole de pay pal, prefieren hacer compras por los métodos tradicionales.
A raíz de que las compras por Internet y el uso de un smartphone se popularizan, surgen también sistemas para realizar pagos a travez de estos dispositivos mobiles. Aplicaciones como Google Wallet, un sistema de pago móvil desarrollado por Google que permite a sus usuarios guardar las tarjetas de crédito, tarjetas de cliente frecuente y tarjetas de regalo, entre otras cosas, así como las promociones de ventas, en el teléfono móvil.
Actualmente, es éste sistema el que esta presentando fallas, dejando a la vista algunas de sus vulnerabilidades.
El incidente de seguridad afectaba a las tarjetas de prepago del servicio y a la seguridad del código PIN de los terminales rooteados.
Según Tim Armstrong, analista de Kaspersky Lab, “Zvelo encontró la primera vulnerabilidad, que requería tener acceso de superusuario. Los métodos para hacer ‘rooting’ hoy en día se han vuelto sencillos con el nacimiento de aplicaciones para hacer ‘rooting mediante click’ en la mayoría de las plataformas. El objetivo de la vulnerabilidad era provocar que se mostrara el número de PIN”.
Al día siguiente, se descubrió una nueva vulnerabilidad en el modo que la aplicación Wallet administra los datos. The Smartphone Champ demostró que en este caso no se necesita acceso de superusuario porque la vulnerabilidad está en la forma en la que funciona la aplicación. Teniendo en cuenta que se ha adquirido una tarjeta Google Prepaid, el usuario puede navegar por la interfaz de administración de la aplicación y eliminar los datos de la aplicación de Google Wallet.
Al ralizar estos cambios se pide al usuario que escoja un nuevo PIN. La vulnerabilidad consiste en que los datos de Google Prepaid permanecen. Después de establecer un nuevo número PIN, de tal modo que el atacante puede utilizar la tarjeta prepago como si fuese suya.
Al agregar datos de una tarjeta a una web, es de esperarse que los cibercriminales lo visualicen como un buen punto de ataque, ya que este tipo de paginas web suele tener una gran base de tarjetas almacenadas.
Sabemos que Android es un sistema que cada día eleva con mayor rapidez su popularidad, y al volverse universal Google Wallet en todos los dispositivos Android, es muy probable que aparezcan muchas más amenazas de este tipo.
Estas vulnerabilidades descubiertas son solo el principio, ya que se tienen a grandes empresas financieras apoyando el proyecto de Google Wallet, por lo que el interés por brindar seguridad al usuario es bastante alto.