Pincode Google Wallet is te achterhalen op toestel met root

Google Wallet bevat een beveiligingsprobleem op geroote toestellen. Een kwaadwillende die beschikking heeft over een geroote smartphone, kan eenvoudig de encryptie van de pincode met een brute force-aanval achterhalen.

De kwetsbaarheid wordt uit de doeken gedaan door beveiligingsbedrijf Zvelo, naar aanleiding van een onderzoeksrapport van Via Forensics over de mogelijke risico's van Google Wallet. Op een Android-smartphone met de Google Wallet-app, wordt de pincode als sha256-hash opgeslagen. Ondanks het gebruik van een salt is het achterhalen van de code eenvoudig: omdat een pin uit vier cijfers bestaat zijn er slechts 10.000 hashes mogelijk, waardoor het onttrekken van de pin middels een brute force-aanval eenvoudig is.

Een pin kan bij Google Wallet maximaal vijf keer foutief ingevoerd worden, daarna blokkeert de app zichzelf. Deze beveiligingsmaatregel wordt compleet omzeild door direct de juiste cijfercombinatie te ontfutselen, schrijft Zvelo. Dat kan door gegenereerde hashes stuk voor stuk te vergelijken met de hash van de Wallet-pincode: op een root-toestel is die hash uit te lezen. Komen de gegenereerde hash en de Wallet-hash uiteindelijk overeen, dan is de pincode achterhaald.

Google is op de hoogte gebracht van de kwetsbaarheid, maar zegt na onderzoek weinig te kunnen doen. De enige echte oplossing zou zijn om de pin-verificatie bij de banken neer te leggen, waardoor de beveiliging van het Wallet-betaalsysteem drastisch veranderd moet worden.

Wel is de impact van het lek beperkt. Zo moet het Android-toestel geroot zijn, want standaard draait Android apps in een sandbox. Ook moet een aanvaller de beschikking over het toestel hebben en de eigenaar van de smartphone moet dan ook geen lock-screen-beveiliging ingesteld hebben. Momenteel ondersteunen alleen Googles eigen Nexus en Galaxy Nexus de Wallet-dienst.

IT-banen

Reacties (77)

Anoniem: 80466 9 februari 2012 10:29

Ook moet een aanvaller de beschikking over het toestel hebben en de eigenaar van de smartphone moet dan ook geen lock-screen-beveiliging ingesteld hebben.

Meer dan de helft van de mensen heeft geen lockscreen beveiliging.

In essentie dus als je toestel gestolen worden kunnen ze het toestel rooten, bruteforcen en vervolgens lekker gaan betalen met je wallet.
Lekker safe

Die toestellen zullen wel populair worden bij dieven.

[Reactie gewijzigd door Anoniem: 80466 op 25 juli 2024 01:57]

twjdeboer @Anoniem: 80466 • 9 februari 2012 10:31

Of je veranderd je wachtwoorden en Pincodes als je telefoon gestolen wordt.

wph @twjdeboer • 9 februari 2012 10:43

Dat ook uiteraard, maar wat ik redelijk verbazingwekkend vind, is dat er zo veel mensen rondlopen zonder bijvoorbeeld Seekdroid (of iets vergelijkbaars op de iPhone). Ik vind dat echt serieus dom. Gelukkig heb je bij Android ook nog zoiets als Plan B van Lookout, maar dat is al weer beperkter in opties. Waarom zou je zoiets niet installeren? Je kan je telefoon lokaliseren als ie gejat is (of gewoon even kwijt) en in geval van nood kan je alles op afstand wissen. Hetzelfde geldt voor je laptop, installeer Prey. Het is te hopen dat je het nooit nodig hebt, maar je kunt jezelf wel voor je kop slaan als je het niet hebt als het moment daar is.

Kiswum

Google Android

@wph • 9 februari 2012 11:04

Wellicht gebruiken mensen dit soort software niet door de volgende dingen:
- Gebruiker vertrouwd dit soort software niet
- Gebruiker heeft er nooit van gehoord
- Gebruiker heeft geen internet
- Gebruiker vind het niet nodig
- Gebruiker denkt er pas aan als het te laat is (net zoiets als een backup maken)
- Gebruiker heeft dergelijke software al een keer geprobeerd, maar het werkt niet.

Als tweaker heb ik er nooit van gehoord, wellicht ook doordat ik er nooit naar heb gezocht.
Bada OS heeft dit standaard geinstalleerd staan, maar werkt alleen maar in de UK.

dangerousp @Anoniem: 80466 • 9 februari 2012 10:43

Ik ken eerlijk gezegd ook geen mensen die Google wallet gebruiken.

Voor zover ik lees is dit niet gecombineerd met google checkout en de market.

De dieven moeten dan dus erg bewust zoeken naar mensen met een Nexus waarbij de gebruiker Wallet gebruikt..

Anoniem: 80466 @dangerousp • 9 februari 2012 10:50

Ik ken eerlijk gezegd ook geen mensen die Google wallet gebruiken.

Het is toch ook een dienst voor met name gebruikers in de VS

Mellow Jack

Mobiele besturingssystemen
Google Android

@Anoniem: 80466 • 9 februari 2012 10:43

Wel even in je achterhoofd houden dat wanneer je telefoon gestolen wordt, hij ook nog eens gestolen moet worden door iemand die je toestel kan rooten en daarna moet die persoon ook nog eens genoeg weten over de werking van Android zelf (en encryptie) om dit te kunnen achterhalen.

Dieven gaan hier echt geen werk van maken... Die willen iets stelen en gelijk helen om geld binnen te krijgen

Anoniem: 80466 @Mellow Jack • 9 februari 2012 10:54

Het is wachten op een kant en klaar appje dat de pin bruteforced. Daar hoef je dus echt geen encryptie kennis voor te hebben.
En dieven zullen juist op zoek gaan naar telefoons met een wallet omdat daar een extra bonus is te verdienen is die hoger kan zijn dan de lage waarde van een gestolen toestel.

KrijgDeMeuk @Anoniem: 80466 • 9 februari 2012 11:04

En dieven zullen juist op zoek gaan naar telefoons met een wallet omdat daar een extra bonus is te verdienen is die hoger kan zijn dan de lage waarde van een gestolen toestel.

Het lijkt mij erg lastig om te zien of een telefoon Google Wallet in gebruik heeft of niet. Daarbij moet je ook gokken op een telefoon zonder pin, lockscreen of wachtwoord. Sorry, maar het lijkt mij in ieder geval te veel werk om specifiek deze telefoons te jatten.

Mellow Jack

Mobiele besturingssystemen
Google Android

@Anoniem: 80466 • 9 februari 2012 11:16

Juist en dan moeten ze ook nog eens controleren of het toestel wat ze willen stelen te rooten is en zo ja of ze de juiste methodes kennen om hem ook daadwerkelijk te rooten.

Nee sorry hoor het is zo ontiegelijk onrealistisch om te zeggen dat zoiets zal gebeuren.... Dieven willen snel geld en dit is totaal niet snel. Klaar

Waarom denk je anders dat je bijv een super nieuwe fiets van 1500 euro in de winkel voor 200 euro kan kopen? Juist omdat het gewoon teveel moeite is om de fiets voor meer geld te verkopen (aangezien het werk wat je eraan hebt om hem voor legaal door te laten gaan). Het is gewoon veel makkelijker om die avond 5 fietsen te stelen en ze diezelfde avond naar je afnemer te brengen (ja dieven hebben altijd een heler... zie het als een groothandel)

Anoniem: 80466 @Mellow Jack • 9 februari 2012 11:49

Juist en dan moeten ze ook nog eens controleren of het toestel wat ze willen stelen te rooten is en zo ja of ze de juiste methodes kennen om hem ook daadwerkelijk te rooten.

Nee sorry hoor het is zo ontiegelijk onrealistisch om te zeggen dat zoiets zal gebeuren....

zijn er dan android telefoon die niet te rooten zijn ?

en methodes kennen stelt niks voor.
Er zijn ook zal dieven die zich bezighouden met skimming van betaalpassen.

Tja, dat vereist ook wat specifieke kennis maar die is goed te verwerven.
En dit is potentieel nog een stuk simpeler dan skimming.

Dus waarom je het onrealistisch noemt is me onduidelijk.

[Reactie gewijzigd door Anoniem: 80466 op 25 juli 2024 01:57]

Mellow Jack

Mobiele besturingssystemen
Google Android

@Anoniem: 80466 • 9 februari 2012 11:57

HTC Wildfire... Have fun

Je moet het realistisch zijn. Elke pin pas wordt gebruikt voor betalingen. 100% van je slachtoffers zijn dus te pakken dmv skimming. Dan heb je nog 1 variable en dat is het saldo

Op mobiele telefoon niveau... Zoals ik al heb gezegd, niet elk toestel is te rooten (sommige alleen dmv full whipe), niet elk toestel gebruikt google wallet. Dit betekend dat maar een bepaald percentage van jou slachtoffers ook nog eens vatbaar zijn voor jou "aanval". En als laatste heb je nog de variabele... Het saldo. Daarnaast neemt het nog eens extra tijd in beslag (extra tijd om je google wallet te sluiten) vergeleken met skimmen en is 100% van de slachtoffers op de hoogte van de diefstal (bij skimmen is dat 0% omdat je pas gekopieerd wordt)

Edit: Bijna vergeten. Wanneer je een toestel wilt rooten maar je hebt geen toegang in de UI moet hij ook nog eens in USB Debugging mode staan (weer een percentage vatbare slachtoffers minder)

Nee sorry als jij crimineel wordt zal je helaas niet rijk worden

[Reactie gewijzigd door Mellow Jack op 25 juli 2024 01:57]

Vexxon @Mellow Jack • 9 februari 2012 11:47

Je hebt natuurlijk verschillende soorten dieven.
Een dief die zich specifiek richt op het stelen van fietsen weet hoe hij een fiets moet openbreken.
Een autodief weet een autoalarm te omzeilen en welk type auto veel oplevert.
Een dief die telefoons jat weet wellicht iets meer over telefoons en wat de zwakheden van de verschillende OS-en zijn en wat er te halen valt.

Daarbij is het rooten van een telefoon zo makkelijk tegenwoordig dat vrijwel iedereen dit kan. Een omschrijving hiervan is overal te vinden.

Nog een probleem is dat veel mensen er niet aan zullen denken hun pincode te veranderen of rekening te laten blokkeren wanneer hun telefoon gestolen wordt.

Mellow Jack

Mobiele besturingssystemen
Google Android

@Vexxon • 9 februari 2012 12:03

Bij een auto/fiets diefstal staat je "return of investment" vast. Het kost je een X aantal minuten om het te doen. Daarna een X aantal uur om het te verkopen. En je weet dat je prijs ergens tussen X en Z ligt.

Bij een telefoon is X sowieso variabel en is de opbrengst onduidelijk. Daarnaast vallen ook een flink percentage van je slachtoffers af (zie mijn reactie op hAi) waardoor ik niet kan inzien dat iemand ooit ook maar zoveel tijd in iets gaat steken waarvan de opbrengt onzeker is

Telefoon stelen, verkopen en de volgende telefoon stelen levert naar mijn mening veel meer (en sneller) geld op.

Vexxon @Mellow Jack • 9 februari 2012 13:16

Of:
Telefoon stelen;
Telefoon is Android {
Rooten en geld stelen;
}
Telefoon verkopen;
enz.

Dat levert nog veel meer op.Oftewel, je return of investment is vast plus een eventuele bonus als je de telefoon kan rooten en geld kan stelen.
Het artikel stelt dat de pincode op relatief eenvoudige wijze te bruteforcen is.
Al zal de betreffende dief inderdaad iets meer verstand moeten hebben van telefoon en het OS in kwestie, maar zoals gezegd heeft een autodief wellicht verstand van auto's en een telefoondief verstand van telefoons.

Ik bedoel te zeggen dat we het risico niet moeten onderschatten van een dergelijke bug.
Of de mensen die het stelen niet moeten onderschatten.

Mellow Jack

Mobiele besturingssystemen
Google Android

@Vexxon • 9 februari 2012 16:23

Njah hij moet ook de Android SDK weten te gebruiken. Je USB Debugging moet aanstaan enz enz enz Je moet je hier echt wel in verdiepen, ik ken genoeg IT "experts" die niet eens weten hoe of wat (geen interesse in blijkbaar)

Ik ben het met je eens dat je zo'n bug (en de dieven) niet moet onderschatten maar daarentegen moet je ze ook niet teveel credits geven. Helaas heb ik veel dieven in mijn verleden ontmoet en 95% van de dieven heeft nou niet echt het niveau wat hier wordt verwacht. Die overige 5% zijn mensen die wel het IQ hebben maar dit soort kleine dingetjes niet interessant genoeg vinden (dr zijn makkelijkere manieren om meer geld te verdienen.)

Dit houd niet in dat het niet zal gebeuren hoor (dat wil ik ook echt niet zeggen). Ik probeer alleen duidelijk te maken dat de kans wel heel heel heeeeeeel klein is dat dit je zal overkomen. (dit terwijl de kans op bijv skimmen veel groter is)

Kiswum

Google Android

@Anoniem: 80466 • 9 februari 2012 10:45

Reactie op het artikel: Die fout ligt m.i. voor een groot gedeelte gewoon bij de gebruiker en niet zozeer bij Google. In principe is alles te kraken. Als ik mijn sleutel ergens laat liggen dan kan die persoon ook gewoon in mijn auto rijden. Is dit dan de schuld van mij of de autofabrikant?
Daarnaast heeft de gebruiker zijn telefoon zelf geroot en niet de fabrikant, wederom een bewust keuze van de gebruiker.

Reacte op hAI: Tot voor kort had ik zelf ook geen lockscreen, waarvoor was dat nodig op mijn smartphone. Apps voor de banken gebruik ik niet en via de appmarket van Bada had ik mijn creditcard gegevens al weggehaald zodat er niet ongewenst dingen worden gekocht. Een wachtwoord stond daarbij overigens wel op mijn werkmail waardoor er voor dat gedeelte een pincode nodig was.
Inmiddels heb ik een Windows Phone toestel en hierop is een pincode op je lockscreen verplicht en naar mijn weten nog niet te verwijderen. Ik vermoed dat de overige OS makers dit principe zullen overnemen waardoor er steeds meer mensen een code op het lockscreen zullen krijgen.

Resumé: Het probleem ligt in mijn ogen niet bij de fabrikant, maar bij de gebruiker die zijn/haar telefoon heeft geroot en er bewust voor kiest geen pincode te gebruiken op een toestel met financiële/bedrijfskritische apps.

jbcn @Kiswum • 9 februari 2012 11:37

Het probleem is dat het niet de gebruiker hoeft te zijn die de telefoon root. De crimineel kan hem natuurlijk ook rooten. Een simpel lockscreen houdt dat zeker niet tegen.

Om na het rooten toegang te krijgen tot de pincode kan de dief simpelweg kijken of usb debugging is ingeschakeld (in dit geval kan met adb de informatie ontrokken worden) of hij maakt een NAND backup vanuit het recovery scherm, verplaatst de backup naar zijn comupter en zoekt hierin de informatie die hij nodig heeft.

KrijgDeMeuk @Anoniem: 80466 • 9 februari 2012 10:48

Zoals ik later in de comments al aangaf, wanneer men je toestel jat, en dan gaat rooten, zal er eerst een factoryreset uitgevoerd moeten worden.

Als je telefoon al geroot is, dan heb je wel een probleem, maar dan heb je bewust gekozen om een deel van je systeem open te gooien.

Al met al is het gewoon van belang dat je een code o.i.d. instelt op je telefoon. Mail, SMS en Telefoon nummers zijn anders zo te lezen.

Mellow Jack

Mobiele besturingssystemen
Google Android

@KrijgDeMeuk • 9 februari 2012 11:17

Niet helemaal. Bij vrijwel elk toestel kan ik zonder extreem veel moeite een temp root krijgen. Volgens mij zou dat voldoende moeten zijn.

Daarnaast kan je dmv een exploit gewoon root verkrijgen. Het enige wat je hoeft te doen is rebooten (bootloader hoeft niet veranderd te worden.) Nadeel daaraan is dan wel dat je geen sim toegang krijgt aangezien je die (volgens mij) niet kan bruteforcen

[Reactie gewijzigd door Mellow Jack op 25 juli 2024 01:57]

blorf 9 februari 2012 13:41

Dat kan door gegenereerde hashes stuk voor stuk te vergelijken met de hash van de Wallet-pincode: op een root-toestel is die hash uit te lezen.

Is het niet een beetje logisch dat root het hele RAM-geheugen van begin tot eind kan uitlezen?
Ik vind het erop lijken dat ze het probleem daaraan wijten, maar volgens mij is de beveiliging gewoon te zwak. Een programma dat dermate security-gevoelig is hoort geen controlewaarden letterlijk in het geheugen of een bestand te plaatsen.
Het zou een goeie zijn dat wanneer ik op mijn pc als Administrator zit te telebankieren ik dan via een ander process met admin-rechten, zeg een stuk C-code, de geladen controle-data van de bank-software kan jatten en de toegangscode eruit bruteforcen. Niet dat het vestandig is om als admin te bankieren, maar zo simpel binnenkomen lukt vast niet.

[Reactie gewijzigd door blorf op 25 juli 2024 01:57]

Mellow Jack

Mobiele besturingssystemen
Google Android

@blorf • 9 februari 2012 16:41

Ik denk dat dit de reden is waarom ze gebruik maken van een indentifier (en tan codes)

corset 9 februari 2012 10:28

En daarom root ik dus niet. Wel erg grove fout dit. Hopelijk is dit snel op te lossen. Wallet bied wel genoeg, en kan hopelijk concureren met de abysmale Paypal (Wat een piep bedrijf is dat.). Maar dan moet Google eerst zorgen dat dit soort beveiligings issues er gewoon niet inzitten.

Hier schaadt je gewoon het vertrouwen mee. Vooral omdat het om een financieel product gaat, zijn mensen toch voorzichtig. (Terecht) en als dan dit soort dingen bekend worden, dan is het gewoonweg te riskant om Wallet te gebruiken.

Anoniem: 55563 @corset • 9 februari 2012 10:34

Als je telefoon wordt gejat dan kan een ander je telefoon natuurlijk alsnog rooten. Niet rooten biedt dus geen enkele veiligheid. Zodra je fysieke toegang hebt, is geen enkel apparaat meer veilig voor hackers. Een 4-cijferige pincode waarvan de hashcode lokaal is opgeslagen is een erg grove fout van Google die ze erg makkelijk van de hand lijken te wijzen. Best wel schandalig.

Manu_ @Anoniem: 55563 • 9 februari 2012 11:34

Daarom doet je telefoon bij 'fastboot oem unlock' ook een factory reset. Dan valt er dus niets meer te achterhalen. Ik weet niet of er een manier is om te rooten zonder de telefoon te wipen, maar er is dus wel aan gedacht.

djunicron @Manu_ • 9 februari 2012 14:04

Zeker weten, maar dan moet je inderdaad zoals AgentSmith hier al reageert een tool voor gebruiken.

Deze tools, waaronder shortfuses' Superoneclick werken echter met "trojans" zoals de PSNeuter Linux (reguliere root optie en de latere Gingerbreak) en bruteforcers als de ZerglingRush na een Linux-AF.Lootor.Exploit.

Niet iedere kernel laat dit tegenwoordig meer toe, en het is upstream in Linux inmiddels gepatched. (2.6.41 volgens mij, not sure)

Hoe dan ook, als je alleen de Kernel vervangt via download mode (samsung, via omweg bij Sony) of de bootloader sloopt met de juiste Params bij HTC kan je wel degelijk Root krijgen zonder factory reset.

Bij de nexussen gaat dat iets anders, maar je kunt zonder meer de hele handel op een Nexus downloaden en terugzetten laten na de factory reset. Dat was natuurlijk nooit de bedoeling, maar het kan wel...

Anoniem: 55563 @Manu_ • 9 februari 2012 13:17

Voor o.a. Motorola telefoons gebruik je de tool superoneclick. Dan krijg je root access zonder zelfs opnieuw te hoeven booten, met behoud van data. Wist niet eens dat er een 'officiëlere' manier was.

corset @Anoniem: 55563 • 9 februari 2012 10:42

Compleet mee eens

Maar alsnog, rooten = een risico blijkt weer. En unlock pattern = extra beveiliging. Als mensen gewoon de moeite niet nemen om hun toestel te beveiligen (Dat is met rooten ook goed te doen) dan zijn ze niet al te slim bezig (Of digibeten, in dat geval kunnen ze hulp vragen)

Mellow Jack

Mobiele besturingssystemen
Google Android

@Anoniem: 55563 • 9 februari 2012 11:11

Het is gewoon exact hetzelfde als op de PC. Hoe goed je hem ook beveiligd... Op het moment dat iemand fysiek toegang heeft kan het altijd gehacked worden

robvanwijk

Netwerk en systeembeheer

@corset • 9 februari 2012 13:21

Was dat een fipo-poging?

quote: lanerios
Hopelijk is dit snel op te lossen.

quote: Artikel
Google is op de hoogte gebracht van de kwetsbaarheid, maar zegt na onderzoek weinig te kunnen doen. De enige echte oplossing zou zijn om de pin-verificatie bij de banken neer te leggen, waardoor de beveiliging van het Wallet-betaalsysteem drastisch veranderd moet worden.

Oftewel: waarschijnlijk gaan ze het überhaupt niet oplossen.

quote: lanerios
Wallet bied wel genoeg, en kan hopelijk concureren met de abysmale Paypal (Wat een piep bedrijf is dat.)

Er zit een beveiligingsfout in Wallet, waarvoor je ze compleet afbrandt, maar vervolgens omschrijf je Paypal (zonder enige onderbouwing) als "abysmale", omdat je liever Wallet wil gebruiken...!? Dat kan ik niet volgen.

Overigens, heb je ook een voorstel hoe Google dit op zou moeten lossen? Op een geroot toestel (zonder TPM-chip) kan de gebruiker bij alle data die erop staat, daar kan Google redelijkerwijs niks tegen doen. En welke encryptie je ook gebruikt, een 4-cijferige code zal altijd (namelijk in een schamele 10.000 pogingen) te brute-forcen zijn. Daar kun je met salts niets tegen doen (want: ook die moet je lokaal opslaan en kunnen dus simpelweg uitgelezen worden). Een andere truc is om niet één keer te hashen, maar duizenden keren, om de benodigde rekentijd per brute-force-poging kunstmatig flink te verhogen. Maar zelfs als het op die manier vertraagt tot een volle seconde per poging (waardoor elke betaling ook een seconde vertraagt wordt! die moet namelijk ook (eenmalig) verifiëren!) dan nog ben je in 10.000 seconde ~= 2 1/2 uur klaar met brute-forcen (en gemiddeld in 1 1/4 uur). En dat is dan nog als je het op de telefoon zelf doet; je kunt de hash en salt ook even overtypen op een pc, gooi er zes of acht cores (of een GPU) tegenaan (hashes brute-forcen paralelliseert geweldig), die stuk voor stuk ook nog eens veel sneller zijn en je hebt in hooguit tien minuten je antwoord.

@lanerios hieronder:
Een mening die ik niet begrijp, daarom vraag ik om verduidelijking, dat is toch normaal?
Hoezo wil je Paypal wel noemen, maar je uitspraak over Paypal onderbouwen is dan opeens offtopic... noem het dan helemaal niet!?
Eigenlijk zou ik willen vragen wat je precies zwak vindt aan mijn post, maar dat uitleggen zul je vast ook wel offtopic vinden...

[Reactie gewijzigd door robvanwijk op 25 juli 2024 01:57]

corset @robvanwijk • 9 februari 2012 15:24

Sorry, maar waar slaat je hele post op? Ik geef mijn mening. En Paypal onderbouwen? Dit gaat over google, zou dus off topic zijn. Net zoals jou hele post. En deze. Zwak, erg erg zwak

Dat is een makkelijke. Iemand persoonlijk aanvallen terwijl je totaal fout zit. Ik maakte die post al toen er posts waren. Dus was ik een FiPo aan het halen? Nee? kansloos.. jaja, mod dit maar naar beneden, en hem weer omhoog, want mensen zieken is natuurlijk on topic.

[Reactie gewijzigd door corset op 25 juli 2024 01:57]

KrijgDeMeuk 9 februari 2012 10:41

Wanneer men de bootloader wil unlocken voor de Galaxy Nexus, zal het apparaat eerst verplicht een factory reset moeten ondergaan. Achteraf rooten om zo de pincode te pakken te krijgen, heeft zover ik weet dus weinig zin.

Hier een screenshot van de unlockprocedure: http://cdn.droid-life.com...laxy-nexus-bootloader.jpg

YoMarK @KrijgDeMeuk • 9 februari 2012 10:44

Je bootloader heeft helemaal niets te maken met root toegang. Root toegang kan je ook eenvoudig krijgen door middel van een exploit.
Als je je toestel echter gelocked hebt met een fatsoenlijke pincode, en geen Android debugging in de settings hebt aanstaan, dan word dat nog een lastig verhaal.

[Reactie gewijzigd door YoMarK op 25 juli 2024 01:57]

guanche 9 februari 2012 11:14

Ik snap het salt gedeelte nog niet helemaal:

The lynch-pin, however, was that within the PIN information section was a long integer “salt” and a SHA256 hex encoded string “hash”. Knowing that the PIN can only be a 4-digit numeric value, it dawned on us that a brute-force attack would only require calculating, at most, 10,000 SHA256 hashes.

De salt wordt dus niet gegenereerd, is dus statisch en hebben ze is van te voren berekend, als ik het goed zie? Waardoor er maar 10.000 mogelijkheden over blijven.

Maar als google nu via een zo complex mogelijke berekening een salt genereert op basis van de ingevoerde pincode zal het toch een stuk moeilijker worden en het probleem opgelost zo lang de berekening niet achterhaald is? Maar ik zal wel wat missen

Edit: Ik zie nu dat het ook mogelijk is dat de salt niet gecodeerd is met SHA256 en ook niet wordt meegenomen in de SHA codering van de pin als hij wordt opgeslagen. Maar dat is dan toch ook makkelijk te fixen?

@fred Thanks, that makes sense. En als ik het goed begrijp geeft het rooten toegang tot alles in de telefoon en dus ook de beveiligde opslag mogelijkheid binnen de app. waardoor een random salt-string (welke geen integers hoeven zijn) ook geen oplossing bied.

[Reactie gewijzigd door guanche op 25 juli 2024 01:57]

__fred__

@guanche • 9 februari 2012 11:33

Je kunt je salt wel afhankelijk maken van de pincode, maar dan heb je weer maar 10000 verschillende salts.

Een salt zorgt ervoor dat indien meerdere hashes tegelijkertijd in handen vallen van een aanvaller, dat rainbow tables niet toegepast kunnen worden op de verzameling hashes.

Bij het verliezen van één enkele hash, waarbij de salt bekend is, biedt de salt geen bescherming meer tegen brute force attacks.

Je zult dus of de pincode langer moeten maken, of de salt encrypten met een voldoende lange username / wachtwoord combo die je eenmalig bij installatie ingeeft bijvoorbeeld.

[Reactie gewijzigd door __fred__ op 25 juli 2024 01:57]

R Kuipers 9 februari 2012 10:25

Ja, maar wat als ik een niet geroot toestel "vind" en zelf root?

[Reactie gewijzigd door R Kuipers op 25 juli 2024 01:57]

jfversluis @R Kuipers • 9 februari 2012 10:28

Dan moet diegene eerst zo dom zijn om er geen lock-screen op te zetten, en dat lijkt me al niet zo heel veel voorkomend.

Covinet @jfversluis • 9 februari 2012 10:32

Hoewel het voor de meeste tweakers misschien heel vanzelfsprekend is om er een lockscreen op te zetten, zie ik in mijn omgeving toch heel veel mensen die dit niet gebruiken.

On topic: is het niet mogelijk een beveiliging in te bouwen zodat Google Wallet niet buiten een sandbox draait?

FireDrunk

@Covinet • 9 februari 2012 12:21

De wallet app draait vast in de sandbox, alleen de cracker moet erbuiten draaien. En zonder root kan je die cracker dus niet draaien.

wph @jfversluis • 9 februari 2012 10:37

Is het dan zo dom om er geen lock screen op te zetten? Ik neem aan dat je met lock screen het scherm bedoelt dat je te zien krijgt nadat je je telefoon uit standby haalt? Het kan aan mij liggen, maar ik vind dat verschrikkelijk onhandig, elke keer een pincode of swype pattern invoeren als je even op je telefoon wilt kijken.

The Realone @wph • 9 februari 2012 10:53

Dat is het ook. Plus dat er nog een, wat verder gezocht, nadeel is. Ik heb er bijvoorbeeld Seekdroid op draaien voor het geval mijn telefoon ooit gejat wordt. De dief zal dat ding vanzelf resetten als blijkt dat ie er niks mee kan vanwege een ingestelde lockscreen, maar wanneer het apparaat vrij toegankelijk is bestaat de kans dat dat niet direct gedaan wordt. Ofwel, dan geef ik Seekdroid de kans dat ding te achterhalen.

Het voordeel van Android is overigens weer de aanpasbaarheid. In tegenstelling tot WP7 of iOS kun je vanalles op je lockscreen kwijt waardoor je zonder te unlocken al veel info op kunt vragen.

wph @The Realone • 9 februari 2012 11:24

Dat was mijn tweede punt, ik heb er zelf ook Seekdroid op draaien. Mocht er iets mee gebeuren, heb ik in ieder geval nog de kans m'n telefoon terug te halen of desnoods alles te wissen op afstand. Maar ik ga niet elke keer een pincode invoeren.

jfversluis @wph • 9 februari 2012 10:50

Dom heeft meteen een negatieve lading, zo was het niet bedoeld, maar ik zet er persoonlijk altijd meteen een pincode o.i.d. op.

Je hebt over het algemeen toch wat privacy gevoelige dingen op zo'n toestel staan en ook als je een abonnement hebt en je raakt dat ding kwijt dan kunnen ze je daarmee nog even leegtrekken, hoewel je over het algemeen natuurlijk snel door zult hebben dat je toestel weg is. Maar toch; better safe than sorry!

ZesPak @wph • 9 februari 2012 11:45

dat swipe pattern gaat bij mij even snel als gewoon "slide to unlock". En ik heb een patroon met 5 bolletjes.

Wat me wel is opgevallen is dat dat op mn SGS2, dit alles is wat ik moet doen, bij andere mensen (Sony E, Motorola) heb ik al gezien dat ze eerst "slide to unlock" moeten doen, om vervolgens een patroon te doen, wat het natuurlijk een pak omslachtiger maakt, op mn SGS2 vervangt het patroon gewoon de slide to unlock.

Een pincode is inderdaad vrij storend.

djunicron @ZesPak • 9 februari 2012 13:58

Dat heb ik nog nooit gezien eigenlijk... Tot in Android 4.0.3, (4.0.1 had het nog niet) waar je de optie hebt om eerst een slider in te stellen en daarna de beveiligde unlocker.

Nu begreep ik dat Sense 3.5 ook de optie tot een dubbel lockscreen had...

Maar ik geef je gelijk, het heeft geen zin.

Nu moet ik wel zeggen dat de PIN beveiliging beter werkt. Deze lockt immers ook CWM én dalvik VM data. Debuggen gaat ook niet tenzij je de pin gebruikt, terwijl een Patern-lockscreen enkel op OS niveau werkt. Je kunt er gewoon door heen ADB-en en dus ook root applicaties draaien terwijl gelockt. Dat kan met de PIN niet.

Pas in de toekomst zal de CWM touch versie (nu beta) ook paterns aanhouden in CWM.

Maar goed, daar kom je dus wel omheen via download mode waarbij je deze gewoon kan vervangen.

ZesPak @djunicron • 9 februari 2012 14:28

Debuggen gaat ook niet op de SGS2 met een pattern lock.

kramerty88 @jfversluis • 9 februari 2012 10:34

Dan moet diegene eerst zo dom zijn om er geen lock-screen op te zetten, en dat lijkt me al niet zo heel veel voorkomend.

Het gaat niet om een algemeen lockscreen, maar lockscreen met pincode. En deze is veel minder voorkomend.

Fly-guy

@kramerty88 • 9 februari 2012 13:10

Elk lockscreen is voldoende (afgezien van de slider). De pincode waar het om gaat is de pincode van het wallet product. De code om je toestel te unlocken is niet te kraken op deze manier. (of in ieder geval, daar gaat het artikel niet over,)

MsG @Fly-guy • 9 februari 2012 13:35

En de meesten hebben dus ook maar de slider, dat is juist het punt.

Anoniem: 145867 @MsG • 9 februari 2012 13:45

Bij mij is het juist zo dat de meeste mensen wel zo'n pattern lock hebben. En als ze die niet hebben wijs ik daar ook vaak op. Tegenwoordig weet iedereen wel wat voor privé info er allemaal op hun mobiel staat. Ze willen dit toch niet allemaal aan iedereen kwijt? Meestal als ze er vanaf weten doen ze het gelijk. Dus adviseer die mensen dan ook..
Het is gewoon niet slim om alleen maar een veegbeweging als unlock te hebben.

Sinester @Anoniem: 145867 • 9 februari 2012 14:30

Dat pattern lock is wel leuk, helaas zie je echt heel duidelijk hoe je vinger altijd over het scherm is gegaan, omdat het gewoon zichtbare vlekken geeft

Behalve als je na elk gebruik je scherm schoon veegt met een doekje vind ik pattern lock niet al te betrouwbaar

[Reactie gewijzigd door Sinester op 25 juli 2024 01:57]

Vihaio @Sinester • 9 februari 2012 16:38

Behalve als je je telefoon gebruikt na het unlocken. (wat de meeste mensen doen) Je krijgt dan namelijk nog meer vingervlekken zodat je niet kan zien welke van het unlocken zijn.

Ik heb het een tijdje geleden bij de telefoons van een aantal vrienden geprobeert, en als ze alleen hun telefoon van de belveiliging afhaalden en daarna de telefoon aan mij gaven, lukte het soms om het juiste patroon te zien. (niet altijd dus)
Als ik hetzelfde probeerde nadat ze de telefoon even gebruikt hadden lukte het geen een keer.

Cartman!

@jfversluis • 9 februari 2012 10:59

Dom? Ik vind een lockscreen rete onhandig en als je ook maar een beetje moeite doet kun je bij een ander zo z'n pincode lezen of z'n swipe-beweging te bekijken.

Anoniem: 145867 @Cartman! • 9 februari 2012 13:49

Belangrijk is ook dat je de track animatie die de swipe volgt uitzet. Dan valt het bijna niet op als je het snel doet. Tevens kun je ook wel eens die swipe zien als het scherm er vies van is geworden.

Dus wat doe je? Je geeft eerst die persoon een patatje met mayo zonder vorkje

En dan zeg je. Volgens mij had je een sms.... Unlockt die persoon zijn telefoon en zit er een dikke vet spoor op het scherm. Daarna jat je zijn of haar telefoon en doe je de rest

bob-w-1993 @Anoniem: 145867 • 9 februari 2012 18:32

Haha heb je er ervaring mee ?

shenr @jfversluis • 9 februari 2012 11:33

Ik vraag me ook af hoeveel een lockscreen helpt. Telefoon uit, eigen sim erin en hij kan weer gebruikt worden toch? Alle persoonlijke info is dan nog te benaderen toch? Lockscreen gaat dan pas in werking als hij standby gaat (edit: Is dus niet het geval, als je je telefoon opstart krijg je alsnog de lockscreen te zien).

Een beter middel is een progje als AndroidLost, dan kan je als je m kwijt bent op afstand allerlei commandos sturen. Bijvoorbeeld gps locatie achterhalen of volledig wipen, hiermee bescherm je je toestel veel beter. Moment dat ik de ING app erop zette heb ik ook AndroidLost geinstalleerd op mijn phone. Heb trouwens ook een lockscreen, om diegene die hem heeft "gevonden" op zijn minst te vertragen met het gebruiken van de phone, anders is het wel te makkelijk.

[Reactie gewijzigd door shenr op 25 juli 2024 01:57]

Mellow Jack

Mobiele besturingssystemen
Google Android

@shenr • 9 februari 2012 11:40

Nee lockscreen is de beveiliging van het OS en staat los van jou PIN

ZesPak @shenr • 9 februari 2012 11:42

Neen, ik denk dat je bij het veranderen van sim je terug moet aanmelden bij je google account.

shenr @ZesPak • 9 februari 2012 11:47

Volgens mij niet hoor, heb je dit wel eens getest? Zou erg onhandig zijn voor mensen met twee simkaarten. Pas bij een wipe moet je je opnieuw aanmelden dacht ik. Ga het binnenkort wel even testen.

@Mellow Jack: Dat klopt inderdaad, heb het net even getest en als je hem aanzet krijg je alsnog je lockscreen, was me nooit opgevallen.

Mellow Jack

Mobiele besturingssystemen
Google Android

@shenr • 9 februari 2012 12:04

Volgens mij niet hoor, heb je dit wel eens getest? Zou erg onhandig zijn voor mensen met twee simkaarten. Pas bij een wipe moet je je opnieuw aanmelden dacht ik. Ga het binnenkort wel even testen.

En dan klopt dit bij jou weer helemaal! Zelfs zonder sim blijft je telefoon gekoppeld aan je google account

telenut @jfversluis • 9 februari 2012 14:22

ik zet er nooit een lock op. Als ze hem pikken en ze zien de lock, dan zetten ze hem uit, en proberen hem te resetten. Zien ze geen lock, dan prutsen ze er zelf mee, bekijken eens alles, en proberen zo alles te wissen. Ondertussen kan ik hem wel traceren....
En op de politie moet je niet rekenen voor hulp

RonaldMones @R Kuipers • 9 februari 2012 10:28

Zou dan niet het wallet account al gesloten kunnen zijn? Net zoals jou pin pas word gejat, dat ze deze dan direct kunnen blokkeren.

wpoely86 9 februari 2012 10:35

Waarom slechts een 4 cijferige pin code toelaten? Laat mensen een random wachtwoord kiezen en het aantal mogelijkheden zal dratische stijgen. Of laat maar dan 4 cijfers toe.

Het idee van geld- of bankzaken op een smartphone te doen lijkt me gewoon per definitie flawed. Ik zie niet in hoe je dit ooit echt veilig gaat laten werken via een gewone pincode of wachtwoord. Op een PC gebruiken we toch ook een challenge-respons systeem?

AceAceAce @wpoely86 • 9 februari 2012 19:45

Gebruikersgemak; je gaat geen extreme wachtwoorden eisen als je tap&go wilt betalen (aka binnen enkele seconden).

Low value payments: Door alleen maar betalingen voor kleine bedragen te ondersteunen verlaag je het risico aanzienlijk.

Anoniem: 335560 9 februari 2012 10:28

is het toeval?!? zit net te browsen op internet zit eraan te denken de Galaxy Nexus te halen..

Anoniem: 145867 @Anoniem: 335560 • 9 februari 2012 13:50

Och niet boeiend. Dat hele google wallet werkt hier volgens mij nog niet eens. Alleen in Amerika.

carnelain 9 februari 2012 10:37

Eh kunnen ze de pincode niet verlengen en een zwaardere encryptie gebruiken?

FreakyFries @carnelain • 9 februari 2012 10:48

Pincode verlengen wel; zwaardere encryptie heeft op zichtzelf geen zin.

Er blijven dan namelijk nog steeds maar 10000 mogelijkheden over, die dan alsnog gebruteforced kan worden.

Dakreal 9 februari 2012 10:46

Als Google Wallet hetzelfde is als Paypall. Dan is het in principe hetzelfde als je portomonee, als je die verliest en er zit geld in ben je het ook kwijt.

Ziet er wat mij betreft uit als een storm in een glas water

ZesPak @Dakreal • 9 februari 2012 11:54

Wallet is gelijkaardig aan Paypall (heb beiden), maar je kan gekoppelde creditcards hebben, dwz dat hun limiet de limiet is van je creditcards, en dat is bij veel mensen toch wel vlug enkele duizenden euro's.

Op dit item kan niet meer gereageerd worden.

Pincode Google Wallet is te achterhalen op toestel met root

Lees meer

IT-banen

Reacties (77)

Sorteer op:

Weergave: