אבטחת ה- PIN של ארנק Google נפרצה, אך קיימת אזהרה - זה כרגע רק אם הטלפון שלך מושרש. לא מושרש? אין דאגות. ועם זה נאמר ונעשה, הנה העסקה:
מספר ה- PIN של ארנק Google שלך (מספר זיהוי אישי) מאוחסן מוצפן במכשירך ונמצאה שיטת כוח ברוטה כדי לחשוף את פרטי ה- PIN המקודדים למין SHA256 במאגר. שיטה זו, ששוחררה ללא אחריות לציבור, יכולה למצוא את ה- PIN ללא ניסיונות שגויים באפליקציית הארנק עצמה, תוך שלילת כלל חמש הניסיונות שיש לאפליקציה להזנת קוד PIN. (ראה את זה בפעולה לאחר ההפסקה.)
הנה הדרך הלא כל כך סקסית לתאר את הכל. יהיה עליך טלפון עם ארנק Google, ושיהיה לך שורש במכשיר שלך, ולא הגדרת מסך נעילה מאובטח ואז תאבד את הטלפון שלך. האדם שמוצא את זה אז יכול להשתמש באפליקציה שהעמיתים ב- zvleo עשו ומאז הפיץ בכדי להזין את מספר הזיהוי האישי ואז יוכל להשתמש בטלפון שלך כדי לבצע תשלומים, ממש כמו שהם יכולים אם הם ימצאו את כרטיס האשראי שלך, מה שאולי יהיה מהיר וקל יותר מכל זה.
גוגל קיבלה הודעה וכבר יודעת לתקן את הבעיה, אך יש בעיה. כדי להפוך אותו לאבטח יותר, גוגל תצטרך להעביר את פרטי ה- PIN לבקרה ותחזוקה של הבנק שלך. זה לא רק שיחייב כמה שינויים בתנאי השירות, אלא שאנו מסתמכים על מוסדות בנקאות ארגונית כדי לשמור על בטיחות המידע שלנו. הייתי מתכוון שקל יותר לפרוץ לשרתים של Citigroup מאשר לשרת של גוגל, ואז יש לך את אותה הבעיה שוב ושוב.
דרך טובה יותר לתקן את הבעיה תהיה להכריח משתמשים להשתמש בסיסמה טובה יותר. ניתן לפצח את פרטי ה- PIN כל כך קל מכיוון שהוא משתמש רק בארבעה מספרים. המשמעות היא שיש רק 10, 000 שילובים אפשריים, ואפילו מחשב נייד כמו הטלפון שלך באנדרואיד יכול לסלק סוג כזה של התקפה של כוח אמיץ. שנה את קוד הסיסמה למשהו כמו Fgtr5400 & d77 - בעזרת שילוב של אותיות, מספרים וסמלים - והרבה פחות סביר שהוא יישבר, ואפילו פחות סביר שהוא ישתמש מכיוון שהוא לא נוח. זהו Catch-22 - קוד PIN קל לשימוש וזכור, אך הוא גם קל יותר לפיצוח.
אני לא מתכוון לומר לך להפסיק להשתמש בארנק Google, וגם לא אומר לך להפסיק לשרש את הטלפון שלך. אני אומר לך להרים אותו ולשים קוד סיסמא על מסך הנעילה לפני שתאבד אותו.
מקור: zvelo
קישור Youtube לצפייה במובייל
