Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 
Les événements

30 avril Toulouse : Thales Roadshow 2024 : « Unlock your Cyber ! »

    











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Vulnérabilités

CERT-XMCO : l’application Google Wallet stockerait des données sensibles de façon non-sécurisée

décembre 2011 par CERT-XMCO

- Date : 13 Décembre 2011

- Gravité : Faible

- Description :
Google Wallet avait été lancé au cours de la première partie de l’année (voir CXA-2011-0843) par le géant de la recherche sur Internet pour combler un trou dans son portefeuille de service.

En effet, Wallet est un service de paiement mobile sans contact. Il prend la forme d’une application Android permettant au propriétaire d’un smartphone de procéder à des achats de la même façon qu’avec une carte de crédit, mais sans avoir besoin d’une telle carte. Wallet utilise en effet la puce NFC présente au sein du téléphone, pour interagir avec l’interface de paiement présente chez le commerçant.

Pour cela, l’application stocke différentes informations personnelles afin de simplifier le paiement. Mais la société ViaForensic vient de publier une étude inquiétante. En effet, d’après celle-ci, l’application ne stockerait pas de façon sécurisée certaines informations sensibles. Plus précisément, certaines données seraient stockées au sein d’une base de données SQLight non chiffrée. Ce résultat peut être surprenant, puisque certaines données telles que les mots de passe sont correctement protégées en étant stockées sous une forme chiffrée.

Parmi les informations non protégées par l’application, les chercheurs ont relevé :
 le nom figurant sur la carte ;
 les 4 derniers chiffres du numéro de la carte (la version complète de ce numéro est cependant correctement protégée) ;
 le montant maximum autorisé d’un achat ;
 la date d’expiration de la carte ;
 les dates de chacune des transactions ;
 et enfin, la localisation de celle-ci.

Selon les chercheurs, ces différentes données pourraient être utilisées par des pirates pour mener, entre autres, des attaques de phishing plus vraies que nature...

Bref, entre les différents risques introduits par la technologie sans contact / NFC et ces problèmes de développement, Google a encore un peu de travail afin de proposer un système de paiement dans lequel les utilisateurs pourront avoir pleinement confiance. Pour rappel, celui-ci n’est toujours pas disponible en Europe.

- Référence :

http://news.cnet.com/8301-27080_3-57341844-245/google-wallet-stores-too-much-unencrypted-data-in-a-rooted-device-report

http://viaforensics.com/mobile-security/forensics-security-analysis-google-wallet.html

https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0843

- Lien extranet XMCO :

https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-2156


Voir les articles précédents

    

Voir les articles suivants

Les événements

23 avril Paris 9h à 13h : Conférence Appian, Cap Gemini sur le thème Financial Services et Assurances

    

Voir tous les évènements











Ecole de cybersecurite a Lyon et Paris
Ecole de cybersecurite a Lyon et Paris


Vulnérabilités

All our news in english

Alle unsere News auf deutsch

 
Actu Dossiers Cyber Securité RGPD Vulnérabilités Malwares Agenda CARTOGRAPHIE DES DC NEUTRES Carrière GS Days Guide THEMA Agences Presse CONTACTS Contact A propos Mentions légales identifier ADMIN

Global Security Mag Copyright 2011