Sistema de pagamentos do Google tem mais outra falha confirmada de segurança
Duas falhas em dois dias. Ontem, a empresa de segurança Zvelo descobriu um método para usar o Google Wallet de outra pessoa em um aparelho com root. Hoje, o blog de tecnologia TheSmartphoneChamp descobriu como fazer o mesmo em aparelhos sem root. Se seu celular virou sua carteira, é bom mesmo que você não o perca.
Enquanto o hack de ontem exigia lidar com arquivos criptografados, o hack de hoje só requer que você limpe os dados nas configurações do app. Fazendo isso, o Google Wallet se reseta e pede um novo PIN ao usuário. Feito isto, quem estiver com seu celular coloca um cartão Google PrePaid e pronto, o dinheiro que você tinha disponível no Wallet agora pode ser usado. O vídeo acima mostra como isto funciona.
O método foi testado por diferentes fontes e confirmado pelo próprio Google, que diz:
Nós recomendamos fortemente a qualquer um que perca ou queira vender seu celular que ligue para o serviço gratuito do Google Wallet em 855-492-5538 para desativar o cartão pré-pago. Nós também estamos trabalhando em um reparo automático, que deve estar disponível em breve. Nós também aconselhamos todos os usuários do Wallet a configurar uma tela de trava, para uma camada adicional de proteção ao seu celular.
Há como evitar este problema de segurança ativando a tela de trava com senha, mas pelo visto o Google Wallet realmente transforma seu celular em uma carteira de verdade: se você perder o celular, perde o dinheiro também.
O que leva à pergunta: como um sistema destes funcionaria no Brasil? Há algum tempo, quando a Visa estava testando pagamentos via celular no Brasil, levantamos a questão da segurança. A resposta: “o limite de pagamentos por dia é baixo: o valor depende do cliente e do banco, mas a ideia é que o celular seja usado para transações de valor pequeno — compras em cafés, bares e restaurantes, por exemplo. Então se você tiver seu celular roubado, o estrago é pequeno.” [TheSmartphoneChamp via Talk Android via Electronista]