Il Google Wallet su Android è bucato

Non bastasse la presenza di malware (più o meno presunto) distribuito sul Marketplace, il sistema operativo Android deve ora fare i conti con una nuova falla di sicurezza. Anzi due, con l’obiettivo che è sempre lo stesso: cancellare il PIN di accesso al servizio di e-payment Google Wallet (non disponibile per il momento in Italia). Ma i metodi per raggiungerlo alquanto diversi.

Nel primo caso la “falla” si presenta come la possibilità di usare un app per crackare il sistema di verifica del PIN di accesso al servizio Google Wallet, da eseguire necessariamente su smartphone Android bloccati.

Scoperta da Zvelo, la falla è stata ammessa da Google che ha prima annunciato di essere al lavoro su un fix e ha poi fatto una mezza marcia indietro dichiarando che “a oggi, non esiste alcuna vulnerabilità nota che permetta a qualcuno di prendere un telefono consumer e ottenere l’accesso root preservando le informazioni di Google Wallet come il PIN”.

Il problema è circoscritto a dispositivi sbloccati (“rootati” in gergo), sostiene Google, ma a breve distanza dalla falla di Zvelo arriva l’individuazione di un nuovo problema che affligge il servizio Wallet anche su telefonini non sbloccati: basta cancellare le informazioni delle “app” nelle impostazioni di Android per costringere Google Wallet a ripetere la procedura di setup, con tanto di impostazione di nuovo PIN e una nuova carta prepagata su cui verranno trasferiti tutti i fondi precedentemente a disposizione dell’utente.

Anche in questo caso la risposta di Mountain View non si è fatta attendere, ma i toni delle dichiarazioni sono molto meno ottimisti: in attesa di un “fix automatico” da distribuire sul Marketplace, Google consiglia a chiunque perdesse il proprio telefonino – per cancellare il PIN di Wallet occorre avere accesso diretto al dispositivo – di chiamare il numero dell’assistenza telefonica del proprio istituto di credito per disabilitare le proprie carte.

Alfonso Maruccia