Zum Hauptinhalt Zur Navigation
Abo testen Anmelden
Deals
Rack & Stack (öffnet im neuen Fenster) Forum (öffnet im neuen Fenster)
SoftwareSecurityHardwareWissen

Bericht: Google Wallet speichert Kontodaten unverschlüsselt

Googles Bezahlsystem für Android-Smartphones, Wallet, speichert die Daten über Kontostände und Bezahlvorgänge unverschlüsselt ab. Das haben Forscher von Viaforensics herausgefunden.
/ Robert A. Gehring
7 Kommentare News folgen (öffnet im neuen Fenster)
Google Wallet speichert vertrauliche Daten unverschlüsselt. (Bild: Golem.de)
Google Wallet speichert vertrauliche Daten unverschlüsselt. Bild: Golem.de

Wallet ist Googles Einstieg ins mobile Bezahlen. Die im Frühjahr dieses Jahres vorgestellte App soll das bequeme und sichere Bezahlen mit dem Smartphone erlauben, hatte Google versprochen. Bis dahin scheint es allerdings noch ein langer Weg zu sein. Lediglich die vollständige Kreditkartennummer und der zugehörige Sicherheitscode werden bisher sicher abgespeichert. Praktisch alle anderen bei der Nutzung von Wallet anfallenden Daten landen unverschlüsselt auf dem Smartphone und können prinzipiell ausgelesen werden. Das berichtet Andrew Hoog, leitender Forscher des Sicherheitsunternehmens Viaforensics, in einem Blogbeitrag auf der Homepage des Unternehmens.

Neue Angebote bei Golem Jobs(öffnet im neuen Fenster)
IT-Sales Manager*in B2B (m/w/d) Wirtschaftsbetriebe Neustadt am Rübenberge GmbH, Neustadt (öffnet im neuen Fenster)
IT-Spezialist ERP-Schnittstellen (m/w/d) A.T.U Auto-Teile-Unger GmbH & Co. KG, Weiden,Home Office (öffnet im neuen Fenster)
IT Security Analyst (mwd) - Schwerpunkt Koordination net-select GmbH, Pforzheim (öffnet im neuen Fenster)
Spezialist Webanalyse & Tracking (m/w/d) Reisen Aktuell GmbH, Koblenz (öffnet im neuen Fenster)
Strategic Analyst Digital (m/w/d) Willy Bogner GmbH, München (öffnet im neuen Fenster)
Softwareentwickler / Mitarbeiter (m/w/d) im IT-Support Kuschick Software GmbH, Neunkirchen-Seelscheid (öffnet im neuen Fenster)
Leiter / Head of Application Services (m/w/d) HITS.NRW – Hochschule IT Services NRW, Düsseldorf (öffnet im neuen Fenster)
(Senior) CRM Analyst (m/w/d) Willy Bogner GmbH, München (öffnet im neuen Fenster)

In dem Beitrag(öffnet im neuen Fenster) heißt es: "Während Google Wallet bei der sicheren Speicherung Ihrer vollständigen Kreditkarte einen ordentlichen Job macht [...], ist die Menge von Daten, die Google Wallet unverschlüsselt speichert, beträchtlich."

Die vollständige Kreditkartennummer und der zugehörige Sicherheitscode werden auf dem NXP-Chip der für Wallet geeigneten Smartphone-Modelle gespeichert. Bisher gilt der verwendete Chip PN65 als sicher. Die übrigen Daten zu Konten und Bezahlvorgängen werden laut Viaforensics unverschlüsselt "in verschiedenen SQLite-Datenbanken" auf dem Smartphone gespeichert.

Darin sieht Hoog ein erhebliches Sicherheitsrisiko: "Die Gelegenheit, diese Daten für einen Social-Engineering-Angriff auf Verbraucher zu nutzen, ist ziemlich groß. Wenn ich zum Beispiel Ihren Namen weiß, wann Sie Ihre Kreditkarte zuletzt benutzt haben, die letzten vier Ziffern und das Gültigkeitsdatum der Karte, so bin ich ziemlich optimistisch, dass ich diese Daten zu meinem Vorteil nutzen könnte."

Neues aus der Golem Karrierewelt(öffnet im neuen Fenster)

Google hat die Ergebnisse der Viaforensics-Forscher nicht bestritten. Gegenüber NFC World erklärte(öffnet im neuen Fenster) Google dazu: "Die Viaforensics-Studie widerlegt die Effektivität der mehrschichtigen Sicherheitsmechanismen in Android OS und Google Wallet nicht. Der Bericht bezieht sich auf ein gerootetes Handy. Aber selbst in diesem Fall schützt das sichere Element die Bezahlungsinstrumente, einschließlich Kreditkartennummer und Sicherheitscode. [...] Auf der Grundlage der Befunde im Bericht haben wir die App geändert, um zu verhindern, dass gelöschte Daten auf gerooteten Geräten wiederhergestellt werden können."

Zur Startseite 7 Kommentare

Relevante Themen

Technik/HardwareMobile EndgeräteSocial EngineeringGoogleMobilAndroidNXPNFC