RECHERCHEZ parmi plus de 10 000 articles de référence ou pratiques et 4 000 articles d'actualité
PAR DOMAINE D'EXPERTISE
PAR SECTEUR INDUSTRIEL
PAR MOTS-CLES
NAVIGUER DANS LA
CARTOGRAPHIE INTERACTIVE
DÉCOUVREZ toute l'actualité, la veille technologique GRATUITE, les études de cas et les événements de chaque secteur de l'industrie.
Article précédent
La technologie NFC - Principes de fonctionnement et applicationsArticle de référence | Réf : H3580 v1
Auteur(s) : Bertrand PLADEAU, Ahmad SAIF
Date de publication : 10 avr. 2013
Cet article fait partie de l’offre
Réseaux Télécommunications (159 articles en ce moment)
Cette offre vous donne accès à :
Une base complète et actualisée d'articles validés par des comités scientifiques
Un service Questions aux experts et des outils pratiques
Présentation
Lire l'article
Bibliographie & annexes
Inclus dans l'offre
L'analyse de deux attaques fin 2011 sur l'Application android Google Wallet embarquant des moyens de paiement est intéressante.
La première consistait à récupérer le code personnel de protection de l'utilisateur par « brute forcing », afin d'accéder à toutes les cartes enregistrées dans le Google Wallet.
La seconde consistait à réinitialiser l'application Google Wallet pour récupérer la main sur un moyen de paiement.
HAUT DE PAGE5.1.1 Piratage du code personnel
L'accès au Wallet Google est protégé par un code personnel choisi par l'utilisateur lors de l'initialisation de l'application.
Ce code personnel est stocké dans une base de données SQLite dans un répertoire appartenant à l'application Wallet, et limité en lecture/écriture à cette dernière et à l'utilisateur root/system (mécanisme standard Android qui s'appuie sur les permissions Linux).
Le code personnel est encodé sous forme binaire avec d'autres informations (UUIDs, SE status...) dans un format open source Google (protobuf).
Ce n'est pas le code personnel qui est directement stocké mais un hash (SHA-256) du code personnel.
Le code personnel à 4 chiffres donne au maximum 10 000 hashes à calculer, ce qui est très rapide, même sur un smartphone.
Une fois le code personnel récupéré, il est possible de faire des paiements avec la carte bancaire préenregistrée.
Pour mener à bien cette attaque contre un utilisateur, il faut avoir volé le téléphone mobile avec l'application Wallet, car une attaque en ligne n'est pas possible du fait qu'il faille « rooter » le terminal pour donner l'accès aux fichiers du Wallet.
Il pourrait être envisageable de pousser un code malveillant pour « rooter » un mobile à distance, si le système est à jour, ce qui peut être imposé pour faire fonctionner le Google Wallet, mais il n'y a pas de faille root public.
HAUT DE PAGE
Vous êtes abonné à cette offre ?
Connectez-vous !
Vous souhaitez découvrir cette offre ?
Cet article est inclus dans l'offre :
RÉSEAUX TÉLÉCOMMUNICATIONS
• Vulnérabilité du code PIN Google Wallet https://zvelo.com/blog/entry/google-wallet-security-pin-exposure-vulnerability
• Vulnérabilité du code PIN Google Wallet http://forum.xda-developers.com
• Vulnérabilité des cartes de paiement sans contact http://2012.hackitoergosum.org/blog
• Sécurité des cartes bancaires sans contact http://www.cnil.fr
HAUT DE PAGE
• Salon : Mobile World Congress, a lieu tous les ans à Barcelone http://www.mobileworldcongress.com
• Salon NFC World Congress, a lieu tous les ans à Nice http://www.nfcworlcongress.com
HAUT DE PAGE...
Vous êtes abonné à cette offre ?
Connectez-vous !
Vous souhaitez découvrir cette offre ?
Cet article est inclus dans l'offre :
RÉSEAUX TÉLÉCOMMUNICATIONS
DÉTAIL DE L'ABONNEMENT :
TOUS LES ARTICLES DE VOTRE RESSOURCE DOCUMENTAIRE
Accès aux :
Articles et leurs mises à jour
Nouveautés
Archives
Formats :
HTML illimité
Versions PDF
Site responsive (mobile)
Info parution :
Toutes les nouveautés de vos ressources documentaires par email
DES SERVICES ET OUTILS PRATIQUES
Archives
Technologies anciennes et versions
antérieures des articles
Votre site est 100% responsive,
compatible PC, mobiles et tablettes.
FORMULES
Formule monoposte | Autres formules | |
---|---|---|
Ressources documentaires | ||
Consultation HTML des articles | Illimitée | Illimitée |
Téléchargement des versions PDF | 5 / jour | Selon devis |
Accès aux archives | Oui | Oui |
Info parution | Oui | Oui |
Services inclus | ||
Questions aux experts (1) | 4 / an | Jusqu'à 12 par an |
Articles Découverte | 5 / an | Jusqu'à 7 par an |
Dictionnaire technique multilingue | Oui | Oui |
(1) Non disponible pour les lycées, les établissements d’enseignement supérieur et autres organismes de formation. |
||
Formule 12 mois 1 500 € HT |
Autres formules |
2 - BESOINS DE SÉCURITÉ DES DIFFÉRENTS ACTEURS
3 - TYPOLOGIES DU PAIEMENT SANS CONTACT
4 - TRANSACTION ET COMPOSANTS DE L'ARCHITECTURE MOBILE
5 - ATTAQUES ET PARADES
Information
Quiz d'entraînement bientôt disponible
TECHNIQUES DE L'INGENIEUR
L'EXPERTISE TECHNIQUE ET SCIENTIFIQUE
DE RÉFÉRENCE
ÉDITION - FORMATION - CONSEIL :
Avec Techniques de l'Ingénieur, retrouvez tous les articles scientifiques et techniques : base de données, veille technologique, documentation et expertise technique
LOGICIELS
Automatique - Robotique | Biomédical - Pharma | Construction et travaux publics | Électronique - Photonique | Énergies | Environnement - Sécurité | Génie industriel | Ingénierie des transports | Innovation | Matériaux | Mécanique | Mesures - Analyses | Procédés chimie - bio - agro | Sciences fondamentales | Technologies de l'information
ACCUEIL | A PROPOS | EXPERTS SCIENTIFIQUES | NOUS REJOINDRE | PUBLICITÉ | PLAN DU SITE | CGU | CGV | MENTIONS LÉGALES | RGPD | AIDE | FAQ | NOUS CONTACTER
PAIEMENT
SÉCURISÉ
OUVERTURE RAPIDE
DE VOS DROITS
ASSISTANCE TÉLÉPHONIQUE
+33 (0)1 53 35 20 20