Google Wallet speichert vertrauliche Daten unverschlüsselt.
Google Wallet speichert vertrauliche Daten unverschlüsselt. (Bild: Golem.de)

Bericht Google Wallet speichert Kontodaten unverschlüsselt

Googles Bezahlsystem für Android-Smartphones, Wallet, speichert die Daten über Kontostände und Bezahlvorgänge unverschlüsselt ab. Das haben Forscher von Viaforensics herausgefunden.

Anzeige

Wallet ist Googles Einstieg ins mobile Bezahlen. Die im Frühjahr dieses Jahres vorgestellte App soll das bequeme und sichere Bezahlen mit dem Smartphone erlauben, hatte Google versprochen. Bis dahin scheint es allerdings noch ein langer Weg zu sein. Lediglich die vollständige Kreditkartennummer und der zugehörige Sicherheitscode werden bisher sicher abgespeichert. Praktisch alle anderen bei der Nutzung von Wallet anfallenden Daten landen unverschlüsselt auf dem Smartphone und können prinzipiell ausgelesen werden. Das berichtet Andrew Hoog, leitender Forscher des Sicherheitsunternehmens Viaforensics, in einem Blogbeitrag auf der Homepage des Unternehmens.

In dem Beitrag heißt es: "Während Google Wallet bei der sicheren Speicherung Ihrer vollständigen Kreditkarte einen ordentlichen Job macht [...], ist die Menge von Daten, die Google Wallet unverschlüsselt speichert, beträchtlich."

Die vollständige Kreditkartennummer und der zugehörige Sicherheitscode werden auf dem NXP-Chip der für Wallet geeigneten Smartphone-Modelle gespeichert. Bisher gilt der verwendete Chip PN65 als sicher. Die übrigen Daten zu Konten und Bezahlvorgängen werden laut Viaforensics unverschlüsselt "in verschiedenen SQLite-Datenbanken" auf dem Smartphone gespeichert.

Darin sieht Hoog ein erhebliches Sicherheitsrisiko: "Die Gelegenheit, diese Daten für einen Social-Engineering-Angriff auf Verbraucher zu nutzen, ist ziemlich groß. Wenn ich zum Beispiel Ihren Namen weiß, wann Sie Ihre Kreditkarte zuletzt benutzt haben, die letzten vier Ziffern und das Gültigkeitsdatum der Karte, so bin ich ziemlich optimistisch, dass ich diese Daten zu meinem Vorteil nutzen könnte."

Google hat die Ergebnisse der Viaforensics-Forscher nicht bestritten. Gegenüber NFC World erklärte Google dazu: "Die Viaforensics-Studie widerlegt die Effektivität der mehrschichtigen Sicherheitsmechanismen in Android OS und Google Wallet nicht. Der Bericht bezieht sich auf ein gerootetes Handy. Aber selbst in diesem Fall schützt das sichere Element die Bezahlungsinstrumente, einschließlich Kreditkartennummer und Sicherheitscode. [...] Auf der Grundlage der Befunde im Bericht haben wir die App geändert, um zu verhindern, dass gelöschte Daten auf gerooteten Geräten wiederhergestellt werden können."


Nasenbaer 21. Dez 2011

Stimmt schon. Zumal ich durch auslesen des Facebook-Account (das PW brauch ich dazu nich...

RazorHail 16. Dez 2011

die ganzen kassenzettel in meinem portmonee liegen ja normalerweise auch unverschlüsselt...

Kommentieren



Anzeige

  1. Softwareingenieur/in für Konzeption / Entwicklung kundenspezifischer Anwendungen im Automotive Umfeld
    ESG Elektroniksystem- und Logistik-GmbH, München
  2. Software Quality Manager (m/w)- Industry & Logistics
    Bosch Software Innovations GmbH, Immenstaad oder Berlin
  3. Dualer SIBE-Master im Bereich Cloud Leadership als Junior Project Manager (m/w)
    T-Systems International GmbH, Bonn
  4. Mitarbeiter (m/w) für die Stabstelle im Bereich IT-Prozesse
    Hoffmann GmbH Qualitätswerkzeuge, München

Detailsuche


Hardware-Angebote
  1. NEU: Canon Lens-Cashback-Aktion
    bis zu 200,00€ zurück
  2. DANK IOS-APP ANDROID WEAR JETZT AUCH IPHONE-KOMPATIBEL: LG Watch Urbane Smartwatch
    269,74€
  3. ARLT-Sale
    (Restposten, Rücksendungen und Gebrauchtware)

Weitere Angebote


Folgen Sie uns
       


  1. Verdeckte PR

    Wikipedianer schmeißen Sockenpuppen raus

  2. Ideapad Miix 700 im Hands On

    Lenovo baut ein Surface

  3. Dice

    Die Nacht ruft in Battlefield 4

  4. Google

    Android-Wear-Smartwatches umgehen Apples Healthkit

  5. Autonomes Fahren

    Wer hat die besten Karten?

  6. Verschlüsselung

    Microsoft, Google und Mozilla schalten RC4 2016 ab

  7. Photosynthese

    US-Forscher entwickeln günstiges künstliches Blatt

  8. Internet

    Vodafone verbilligt seine VDSL-50- und -100-Tarife

  9. Skylake

    Intel stattet seinen HDMI-Stick mit Core M aus

  10. AOMedia

    Webfirmen wollen einheitlichen und lizenzfreien Videocodec



Haben wir etwas übersehen?

E-Mail an news@golem.de



20 Jahre im Einsatz: Lebenserhaltende Maßnahmen bei Windows 95
20 Jahre im Einsatz
Lebenserhaltende Maßnahmen bei Windows 95
  1. Windows 10 Kommunikation mit Microsoft lässt sich nicht ganz abschalten
  2. Erste Probleme mit Zwangsupdates Windows-10-Patch bockt
  3. Toshiba Satellite Click Mini im Test Kein Convertible für jeden Tag

Windows 10 IoT ausprobiert: Finales Windows auf dem Raspberry Pi 2
Windows 10 IoT ausprobiert
Finales Windows auf dem Raspberry Pi 2
  1. Orange Pi PC Bastelrechner für 15 US-Dollar
  2. Odroid C1+ Ausnahmsweise teurer, dafür praktischer und mit mehr Sound
  3. PiUSV+ angetestet Überarbeitete USV für das Raspberry Pi

Open Source: Sticken! Echt jetzt?
Open Source
Sticken! Echt jetzt?
  1. München CSU-Stadträte wettern über Limux
  2. Guadec15 "Beiträge zu freier Software sind zu schwer"
  3. Guadec15 "Open-Source-Software braucht Markenrechte"

  1. "Sockenpuppen"? welcher kindergarten hat sich...

    Falk.Stein | 14:50

  2. Schweinerei

    D43 | 14:50

  3. Re: Falscher Ansatz? Bin etwas enttäuscht.

    jisgsaw | 14:48

  4. Re: Googles Ansatz

    4ndreas | 14:48

  5. Re: Ihr habt wohl noch die alte Drossel vergessen

    non_sense | 14:48


  1. 14:38

  2. 13:24

  3. 13:00

  4. 12:30

  5. 12:00

  6. 11:58

  7. 11:54

  8. 11:53


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel