Google Wallet アプリ、クレジットカード情報の一部をローカルに暗号化せずに保存
2011年12月19日 11:30
headless 曰く、
セキュリティ企業 viaForensics の解析によると、「Google Wallet」アプリがクレジットカード情報の一部を暗号化せずにローカルに保存しているそうだ (viaForensics のブログ記事、Darkreading の記事、本家 /. 記事より) 。
Google Wallet アプリは、ユーザーが登録したクレジットカード情報の一部をローカルの SQLite データベースに保存する。しかしデータを暗号化せずに保存しているため、ルートアクセスが可能な端末であれば外部からの読み取りが可能な状態になっているのだという。保存されるデータはカード上に印字された名前、カードの有効期限、カード番号の下 4 桁、Gmail アカウントなど。利用残高や利用限度額、利用日時、利用場所なども含まれていたそうだ。カード番号の上 12 ケタや PIN コードなどは含まれないため、不正利用につながるリスクは低いものの、viaForensics のブログ記事ではソーシャルエンジニアリング攻撃には十分な情報だとしている。また、利用履歴を削除した場合やアプリをリセットした場合にもデータベース上のデータが削除されておらず、読み取り可能であることも確認したという。
なお、viaForensics は Google に問題を報告済みで、テスト用として提供されたバージョンでは削除済みデータが読み取れないように修正されているとのこと。
スラッシュドットのコメントを読む | セキュリティセクション | Google | セキュリティ | Android | アメリカ合衆国 | お金