Na verdade, o hacker precisa apenas apagar os dados existentes do Google Wallet e, em seguida, linkar o aplicativo para uma nova conta, criada com um novo PIN. Dessa forma, é possível acessar dados da conta anterior e o capital do usuário.
Como resposta, o Google suspendeu a criação de novos cartões de pagamento antecipado, e afirmou que vai apresentar uma correção para o problema em breve.
A vulnerabilidade deriva do fato de que informações críticas, como o número da conta do usuários, são armazenadas dentro do Secure Element do telefone, enquanto o PIN é mantido como um salted hash no próprio dispositivo.
Segundo a Zvelo, corrigir o problema movendo a verificação do PIN para o Secure Element também pode causar problemas.
“No momento, a decisão está nas mãos dos bancos. Eles podem escolher aceitar o risco imposto por essa vulnerabilidade em vez de incorrerem em custos administrativos elevados ao permitir que o Google libere uma correção apropriada”, afirmou a companhia.
Com informações de TG Daily