Google Wallet blocca le carte prepagate

Google Wallet non è inviolabile. La scorsa settimana sono state scoperte due minacce alla sicurezza del sistema “portafoglio elettronico” dell’azienda di Moutain View. Non appena scoperto il rischio, Big G è corso ai ripari: d’ora in poi non sarà più possibile usare carte ricaricabili con questo servizio.

La decisione non è irrevocabile, ossia il provvedimento è stato preso in via temporanea, finché il rischio non viene analizzato accuratamente e non viene trovata una soluzione affidabile che faccia rientrare la minaccia. Lo ha dichiarato sabato scorso Osama Bedier - il vicepresidente della divisione “Wallet and Payments” di Google - in un post del blog “Google Commerce”.

Fino al momento della scoperta di questi bug di sicurezza un utente malintenzionato avrebbe potuto fare un “uso non autorizzato di carta prepagata” (leggi: rubare del denaro), qualora avesse trovato un telefono smarrito e senza blocco schermo abilitato.  Il blocco temporaneo delle carte prepagate, dunque, è dovuto proprio a questo tipo di rischio.

Il primo dei due problemi è stato scoperto dalla società di sicurezza Zvelo e può portare ad un hack (un attacco) all’account solo in presenza di un telefono sui cui era stato abilitato il root, ossia se sull’apparecchio era stata eseguita una pratica di sblocco che dà all’utente accesso alla cartella principale (la “root”) della memoria del telefono – quella interna, non quella delle schede.

La seconda vulnerabilità, descritta dal blog The Smartphone Champ, permette invece l’exploit di sicurezza a qualsiasi persona che entri in possesso dell’apparecchio; l’attacco alla carta prepagata consiste in tre semplici step: 1. si resetta l’app “Google Wallet”, 2. si digitare un nuovo PIN; 3 si usa la carta prepagata di Google. In questo modo si riesce a mettere le mani (fraudolentemente) sul denaro presente nella carta perché purtroppo il PIN, e l’app Wallet in generale, non è legato all’account Google dell’utente ma solo all’apparecchio.

Ci preme precisare che ciascuna di queste due violazioni sarebbe potuta avvenire solo se il malintenzionato fosse riuscito a mettere la mani fisicamente sull’apparecchio, ossia solo su telefoni smarriti o incustoditi. Inoltre il rischio sicurezza era circoscritto esclusivamente alle carte prepagate, il che significa che nulla è cambiato per le tradizionali carte di credito: sono al sicuro. Infatti è ancora possibile usare in tutta tranquillità le Mastercard rilasciate da Citibank.

Ma il sistema Google Wallet è sicuro? Google dice di sì, questo è ancora un sistema affidabile per fare acquisti, e micropagamenti in generale, attraverso lo smartphone; la società insiste cioè sulla totale sicurezza del servizio ma ovviamente non potrebbe fare altrimenti, sarebbe unpo’ come chiedere all’oste se il vino che mesce è buono. Eppure queste due vulnerabilità si sono presentate. Va dato atto all’azienda di essersi mossa rapidamente per bloccare ogni eventuale tentativo di frode ma il problema rimane. In futuro Google Wallet di certo sarà più sicuro di quanto lo fosse fino alla scorsa settimana. Ciò non toglie però che questi incidenti di percorso un piccolo (?) problema d’immagine al servizio e alla società l’abbiano arrecato.

Nota: il Google Wallet al momento non è dispobile in Italia. Il servizio comunque funziona solo su smartphone Android dotati di tecnologia NFC (Near Field Communication) come il Google Nexus S o il Google Galaxy Nexus.