android my bad Bezpečnostní chybu v implementaci PIN kódu Google Play stále nikdo neopravil

Nedlouho po poměrně žhavé aféře s kritickou bezpečnostní chybou v elektronické peněžence Google Wallet jsme Vás informovali o tom, že podobným problémem trpí i PIN zabezpečení obchodu Google Play.

Ve zkratce tedy, že nastavení nutnosti zadat čtyřmístný, číselný PIN před každou platbou na Google Play lze obejít pomocí jednoduchého smazání dat aplikace skrze vestavěný správce aplikací (nastavení->aplikace->správa aplikací->Google Play->Vymazat lokální data).

Příčinou chyby byl fakt, že zatímco data o platební kartě a Google účtu nebyla uložena přímo v aplikaci a smazání jejích dat se na nich nikterak neprojevilo, tak informace o PINu si ukládala aplikace sama a v případě odstranění dat použila implicitní nastavení, že žádný PIN není.

Z dnešních novinek na portálu XDA bohužel vyplývá, že Google ani po dlouhých 7 měsících chybu nezáplatoval a zanechal ochranu PINem velmi snadno prolomitelnou. Problém byl naštěstí již oznámen na bugtracer Googlu, takže bude snad již konečně opraven.

S trochou štěstí bychom se pak mohli dočkat i nějakých dalších novinek, které se v diskuzi pod bugem objevily. Konkrétně někteří zmiňují, že by jednou nastavený PIN mohl být vyžadován i na webovém prostředí, případně by se mohl synchronizovat mezi více zařízení.

Zdroj: XDA, code.google

Twitter