Home - Convergência Digital

Carteiras digitais entram na mira dos phisings

Convergência Digital - Carreira
Da redação - 09/09/2014

O Google Wallet e a plataforma de pagamento chinês Alipay são os novos alvos de ataques de phishing. Essas formas populares de pagamentos apresentam vulnerabilidades que podem ser exploradas em ataques de apps maliciosos.  Na prática, isso significa que, ao fazer um pagamento por meio de aplicativos de terceiros, o usuário, não imagina que um aplicativo de phishing pode aparecer no lugar  do Google Wallet e do Alipay legítimos. Sem desconfiar da falsa tela, os usuários acabam inserindo no aplicativo de phishing seus respectivos dados bancários e senhas.

As mensagens falsas mostram o potencial dos ataques de phishing, que podem ser apenas o começo. Quando os cibercriminosos têm acesso às contas dos usuários, eles podem partir para o roubo de informações armazenadas na conta. Uma vez que os aplicativos afetados lidam com os pagamentos, é muito provável que dados de cartão de crédito e outras informações de pagamento sejam roubados e negociados nos submundos cibercriminosos. 

A conclusão é da Trend Micro, empresa especializada em soluções de segurança na era da nuvem. A empresa examinou os kits de desenvolvimento de software (SDKs) de formas populares de pagamento por aplicativos e aponta uma falha na comunicação entre o aplicativo de pagamento para dispositivos móveis e os aplicativos de pagamento para clientes. De acordo com os pesquisadores da empresa, a mensagem de sistema que os apps de pagamento para dispositivos móveis enviam podem ser interceptadas por um aplicativo malicioso, por meio de um filtro de intenção de alta prioridade. 

Para operações que envolvem o SDK afetado do Google Wallet, o aplicativo deve se comunicar com o aplicativo Google Play no dispositivo para que o Google Play possa notificar o usuário sobre o pagamento e, em seguida, solicitar a confirmação.  No caso do SDK do IAP, verifica-se uma intenção implícita, que pode ser interceptada. Isso significa eu um aplicativo malicioso pode usar o mesmo filtro de intenção para exibir uma página de phishing. 

O Alipay apresenta processo semelhante ao do Google Wallet. Após o usuário clicar no botão "pagar", o aplicativo se comunicar com o app cliente do Alipay para que este mostre uma mensagem de confirmação. Como a falha presente no Google Wallet, a comunicação pode ser interceptada por um aplicativo malicioso usando o mesmo filtro de intenção. O aplicativo malicioso envia, então, sua própria mensagem em vez da mensagem legítima.

Aplicativos de terceiros empregam o SDK do Google Wallet ou do Alipay, a fim de se comunicar com os aplicativos legítimos para processamentos reais de pagamento. O objetivo do referido SDK é enviar a intenção de pagamento para o Google Wallet ou Alipay. Um aplicativo malicioso pode substituir os dois aplicativos reais para receber a intenção de pagamento.De acordo com a Trend Micro, o Google e o Alipay já foram informados da vulnerabilidade.


Enviar por e-mail   ...   Versão para impressão:
 

LEIA TAMBÉM:

04/10/2018
Desenvolvedor móvel pode receber até R$ 13 mil

26/09/2018
Eleições: Nordeste lidera denúncias via app do TSE

05/09/2018
Kotlin: a linguagem de programação que conquistou os apps

03/09/2018
Uber pode dispensar motorista que não atende políticas da empresa

29/08/2018
Oitenta e nove dos 100 apps mais populares do Android ferem a privacidade

27/08/2018
TRT-SP decide que motorista tem vínculo com Uber

17/08/2018
Receita Federal libera o aplicativo e-Processo

09/08/2018
Publicidade em aplicativos gira R$ 12 bilhões por ano no Brasil

06/08/2018
iFood, do Movile, compra parte do rival Pedidos Já

01/08/2018
Anatel lança aplicativo que compara preços de telefonia, TV paga e internet

Destaques
Destaques

FCC, dos EUA, impõe ‘Lei das Antenas’ para acelerar redes 5G

Regra aprovada pelo regulador dos Estados Unidos prevê entre 60 e 90 dias como prazo máximo para licenças de instalação de equipamentos, em especial, para as small cells. Lá também há burocracia e o prazo de espera pode chegar a um ano. No Brasil, a situação não é diferente.

BNDES recebe 54 projetos de IoT e selecionados terão apoio de R$ 30 milhões

São 23 projetos que propõem soluções de Internet das Coisas para cidades, 17 para saúde e 14 para campo. Juntos, envolvem investimentos de R$ 360 milhões. Banco vai selecionar, até outubro, as empresas que vão receber empréstimos não reembolsáveis.

Veja mais vídeos
Veja mais vídeos da CDTV
Veja mais artigos
Veja mais artigos

Desvende 10 mitos sobre os cartões biométricos

Por Cassio Batoni*

Como toda nova tecnologia, os questionamentos sobre a sua segurança e e a sua confiabilidade ainda existem e são compreensíveis, mas ela veio para ficar. A impressão digital surge como a confirmação principal de que o usuário é quem diz ser.


Copyright © 2005-2016 Convergência Digital ... Todos os direitos reservados ... É proibida a reprodução total ou parcial do conteúdo deste site