El Wallet es un sistema de 3 partes. Por un lado está la aplicación software para smartphone, por otro lado está el chip hardware o elemento de seguridad y por último los bancos que ofrecen la pasarela de datos.
La empresa Zvelo ha descubierto un agujero de seguridad en el punto en el que la aplicación se comunica con el elemento de seguridad que tras un intervalo de tiempo solicita el número PIN. Aquí viene el gran error de Google, dicho PIN el almacenado por la aplicación en un formulario encriptado en el propio smartphone, por lo que mediante una aplicación maliciosa podría romperse la encriptación y conseguir el PIN.
De este modo, alguien que tuviera acceso al teléfono de forma ilegítima, podría "fácilmente" conseguir los números de cuenta, el historial de transacciones, etc... Pero esto no tiene nada que ver con el sistema de pago sin contacto en sí mismo.
Pero bien: en el teléfono tendría que haber sido ajustado el código de Android para permitir el acceso a lo más profundo del sistema operativo (algo que no todos, ni casi todos, los usuarios de Android podría o sabría hacer). El ladrón tendría que tener acceso físico a su teléfono por un espacio de tiempo considerable para volver al root y ejecutar la aplicación especial. Incluso Zvelo señala que usted puede poner muchos obstáculos en el camino de un ladrón para evitar el hackeo mediante el cifrado del dispositivo y asegurarse de que cuenta con el bloqueo de la pantalla de inicio mediante contraseña.
