Bericht Google Wallet speichert Kontodaten unverschlüsselt

Googles Bezahlsystem für Android-Smartphones, Wallet, speichert die Daten über Kontostände und Bezahlvorgänge unverschlüsselt ab. Das haben Forscher von Viaforensics herausgefunden.

Anzeige

Wallet ist Googles Einstieg ins mobile Bezahlen. Die im Frühjahr dieses Jahres vorgestellte App soll das bequeme und sichere Bezahlen mit dem Smartphone erlauben, hatte Google versprochen. Bis dahin scheint es allerdings noch ein langer Weg zu sein. Lediglich die vollständige Kreditkartennummer und der zugehörige Sicherheitscode werden bisher sicher abgespeichert. Praktisch alle anderen bei der Nutzung von Wallet anfallenden Daten landen unverschlüsselt auf dem Smartphone und können prinzipiell ausgelesen werden. Das berichtet Andrew Hoog, leitender Forscher des Sicherheitsunternehmens Viaforensics, in einem Blogbeitrag auf der Homepage des Unternehmens.

In dem Beitrag heißt es: "Während Google Wallet bei der sicheren Speicherung Ihrer vollständigen Kreditkarte einen ordentlichen Job macht [...], ist die Menge von Daten, die Google Wallet unverschlüsselt speichert, beträchtlich."

Die vollständige Kreditkartennummer und der zugehörige Sicherheitscode werden auf dem NXP-Chip der für Wallet geeigneten Smartphone-Modelle gespeichert. Bisher gilt der verwendete Chip PN65 als sicher. Die übrigen Daten zu Konten und Bezahlvorgängen werden laut Viaforensics unverschlüsselt "in verschiedenen SQLite-Datenbanken" auf dem Smartphone gespeichert.

Darin sieht Hoog ein erhebliches Sicherheitsrisiko: "Die Gelegenheit, diese Daten für einen Social-Engineering-Angriff auf Verbraucher zu nutzen, ist ziemlich groß. Wenn ich zum Beispiel Ihren Namen weiß, wann Sie Ihre Kreditkarte zuletzt benutzt haben, die letzten vier Ziffern und das Gültigkeitsdatum der Karte, so bin ich ziemlich optimistisch, dass ich diese Daten zu meinem Vorteil nutzen könnte."

Google hat die Ergebnisse der Viaforensics-Forscher nicht bestritten. Gegenüber NFC World erklärte Google dazu: "Die Viaforensics-Studie widerlegt die Effektivität der mehrschichtigen Sicherheitsmechanismen in Android OS und Google Wallet nicht. Der Bericht bezieht sich auf ein gerootetes Handy. Aber selbst in diesem Fall schützt das sichere Element die Bezahlungsinstrumente, einschließlich Kreditkartennummer und Sicherheitscode. [...] Auf der Grundlage der Befunde im Bericht haben wir die App geändert, um zu verhindern, dass gelöschte Daten auf gerooteten Geräten wiederhergestellt werden können."

Kommentarübersicht
Re: Social-Engineering-Angriff
Nasenbaer 21. Dez 2011

Stimmt schon. Zumal ich durch auslesen des Facebook-Account (das PW brauch ich dazu nich...

Re: Wallet vs. Geldbörse
RazorHail 16. Dez 2011

die ganzen kassenzettel in meinem portmonee liegen ja normalerweise auch unverschlüsselt...

Kommentieren

Trackbacks
Anzeige
Stellenmarkt
  1. Mitarbeiter/in 1st & 2nd Level Support IT
    Christoffel Blindenmission Deutschland e.V., keine Angabe
  2. IT-Service Mitarbeiter (m/w) für den 1st- / 2nd-Level Support
    DATAGROUP Köln GmbH, Essen, Frankfurt/Main, Köln oder München
  3. Consultant / Wissenschaftlicher Mitarbeiter (m/w) im Bereich IT Privacy
    VDI/VDE Innovation + Technik GmbH, Berlin
  4. Spezialist Software Acceptance Test (m/w)
    HARTING KGaA, Espelkamp

 

Detailsuche

Folgen Sie uns
       
Videos
Huawei Ascend P6 - Hands on Huawei Ascend P6 - Hands on
Ticker
  1. 40 gefährliche Sicherheitslücken

    Aktueller Patch von Oracle nur für Java 7

  2. Hands On

    Huawei Ascend P6 ist schick und schlank

  3. Letzte Meile

    Bundesnetzagentur senkt Preise für TAL am Schaltverteiler

  4. Prism

    Wie der BND das Netz überwacht

  5. Socl

    Microsofts soziales Netzwerk wird zum Meme-Generator

  6. XMP-Profile

    Kompatibilitätslisten zu DDR3-Modulen für Haswell

  7. Datenbrille

    Datenschützer halten Google Glass für nicht EU-tauglich

  8. We are Watching You

    Widerstand gegen Kinect-Überwachung in den USA

  9. Netflix und Dreamworks

    Shrek & Co. bald in neuen Streaming-Serien

  10. LC-90LE757

    Sharp bringt 90-Zoll-TV für 13.000 Euro

Newsletter-Abo
Haben wir etwas übersehen?

E-Mail an news@golem.de

Anzeige
Xbox One
Xbox One: 340.000 Asteroiden aus der Cloud
Xbox One
340.000 Asteroiden aus der Cloud

E3 2013 Wie leistungsstark Xbox One und Playstation 4 im Vergleich sind, lässt sich noch nicht endgültig sagen. Mit einer Demonstration hat Microsoft versucht, die Bedeutung der zusätzlich möglichen Cloud-Berechnungen zu belegen. Außerdem konnte Golem.de die beiden neuen Konsolencontroller ausprobieren.

  1. Xbox One Anonymer Microsoft-Entwickler verteidigt DRM
  2. Video-Interview Cevat Yerli über Römer, Ryse und Xbox-One-Technik
  3. Xbox One Ein Halo, ein Erscheinungstermin und ein Preis
Macbook
Photofast: MicroSD-Laufwerke für Macbooks
Photofast
MicroSD-Laufwerke für Macbooks

Photofast hat eine Speichererweiterung für Macbooks vorgestellt, die mit MicroSD-Karten bestückt wird. Die Konstruktion wird dann in den SD-Kartenschacht der Geräte gesteckt, wo sie fast vollständig verschwindet. Wer will, kann auch den beigelegten, winzigen MicroSD-Adapter für den USB-Port nutzen.

  1. Geplante Obsoleszenz Regierung lehnt Mindestnutzungsdauer von Technikprodukten ab
  2. Geplante Obsoleszenz Gesetz soll Mindestnutzungsdauer für Elektronik erzwingen
  3. Zendock Dockingstation für Macbook Pro und Retina-Modelle
Internetsperren
Opt-out-Zwang: Großbritannien führt ab 2014 Pornofilter für alle ein
Opt-out-Zwang
Großbritannien führt ab 2014 Pornofilter für alle ein

Was erst nur für Neukunden galt, bekommen jetzt alle Kunden von Internet Service Providern und Nutzer öffentlicher WLANs: Pornofilter. Doch sie lassen sich (noch) ausschalten.

  1. Eco EU streicht Mittel für Bekämpfung von Kinderpornografie
  2. Urheberrecht Schweizer Rechteinhaber wollen Websites sperren
  3. Filesharing Schweiz will Internetsperren auf das Urheberrecht ausweiten
Forumsbeiträge »
  1. Edward Snowden NSA-Hacker verursachen weltweit Systemabstürze

    Re: Glaubwürdigkeit

    chekcmate | 02:42

  2. Oculus Rift 16 Millionen US-Dollar für die HD-Version

    Ende 2014

    TheBigLou13 | 02:31

  3. Xbox One "Microsofts Geschäftspolitik gefährdet Xbox-Geschäft"

    Re: Eins ist FAKT: PRISM überwacht auch die X-Box...

    lukasauchter | 02:27

  4. Prism Wie der BND das Netz überwacht

    Re: "Bundesbürger sind tabu"

    Ninos | 02:24

  5. Computerspiele Atari-Gründer warnt vor Onlinezwang

    Sim City lässt sich etwa nur mit einer...

    Icahc | 02:24

Ticker »
  1. 40 gefährliche Sicherheitslücken Aktueller Patch von Oracle nur für Java 7

    01:12

  2. Hands On Huawei Ascend P6 ist schick und schlank

    21:39

  3. Letzte Meile Bundesnetzagentur senkt Preise für TAL am Schaltverteiler

    20:08

  4. Prism Wie der BND das Netz überwacht

    19:36

  5. Socl Microsofts soziales Netzwerk wird zum Meme-Generator

    18:40

  6. XMP-Profile Kompatibilitätslisten zu DDR3-Modulen für Haswell

    18:24

  7. Datenbrille Datenschützer halten Google Glass für nicht EU-tauglich

    18:06

  8. We are Watching You Widerstand gegen Kinect-Überwachung in den USA

    17:57

Zum Artikel