Bericht: Google Wallet speichert Kontodaten unverschlüsselt

Googles Bezahlsystem für Android-Smartphones, Wallet, speichert die Daten über Kontostände und Bezahlvorgänge unverschlüsselt ab. Das haben Forscher von Viaforensics herausgefunden.

Artikel veröffentlicht am ,
Google Wallet speichert vertrauliche Daten unverschlüsselt.
Google Wallet speichert vertrauliche Daten unverschlüsselt. (Bild: Golem.de)

Wallet ist Googles Einstieg ins mobile Bezahlen. Die im Frühjahr dieses Jahres vorgestellte App soll das bequeme und sichere Bezahlen mit dem Smartphone erlauben, hatte Google versprochen. Bis dahin scheint es allerdings noch ein langer Weg zu sein. Lediglich die vollständige Kreditkartennummer und der zugehörige Sicherheitscode werden bisher sicher abgespeichert. Praktisch alle anderen bei der Nutzung von Wallet anfallenden Daten landen unverschlüsselt auf dem Smartphone und können prinzipiell ausgelesen werden. Das berichtet Andrew Hoog, leitender Forscher des Sicherheitsunternehmens Viaforensics, in einem Blogbeitrag auf der Homepage des Unternehmens.

In dem Beitrag heißt es: "Während Google Wallet bei der sicheren Speicherung Ihrer vollständigen Kreditkarte einen ordentlichen Job macht [...], ist die Menge von Daten, die Google Wallet unverschlüsselt speichert, beträchtlich."

Die vollständige Kreditkartennummer und der zugehörige Sicherheitscode werden auf dem NXP-Chip der für Wallet geeigneten Smartphone-Modelle gespeichert. Bisher gilt der verwendete Chip PN65 als sicher. Die übrigen Daten zu Konten und Bezahlvorgängen werden laut Viaforensics unverschlüsselt "in verschiedenen SQLite-Datenbanken" auf dem Smartphone gespeichert.

Darin sieht Hoog ein erhebliches Sicherheitsrisiko: "Die Gelegenheit, diese Daten für einen Social-Engineering-Angriff auf Verbraucher zu nutzen, ist ziemlich groß. Wenn ich zum Beispiel Ihren Namen weiß, wann Sie Ihre Kreditkarte zuletzt benutzt haben, die letzten vier Ziffern und das Gültigkeitsdatum der Karte, so bin ich ziemlich optimistisch, dass ich diese Daten zu meinem Vorteil nutzen könnte."

Google hat die Ergebnisse der Viaforensics-Forscher nicht bestritten. Gegenüber NFC World erklärte Google dazu: "Die Viaforensics-Studie widerlegt die Effektivität der mehrschichtigen Sicherheitsmechanismen in Android OS und Google Wallet nicht. Der Bericht bezieht sich auf ein gerootetes Handy. Aber selbst in diesem Fall schützt das sichere Element die Bezahlungsinstrumente, einschließlich Kreditkartennummer und Sicherheitscode. [...] Auf der Grundlage der Befunde im Bericht haben wir die App geändert, um zu verhindern, dass gelöschte Daten auf gerooteten Geräten wiederhergestellt werden können."

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Verwandte Artikel
artikel-bild
PN65
NXP Semiconductors liefert NFC-Chip für Google Wallet
artikel-bild
Bonus
Google Wallet startet mit 10-Dollar-Guthaben
artikel-bild
Eco
"Die letzte Innovation der Banken war die EC-Karte"
Meistgelesen
artikel-bild
Updates für GPT-3 und GPT-4
GPT im Geschwindigkeitsrausch
artikel-bild
Star Wars
Holiday Special jetzt in 4K mit 60 fps
artikel-bild
Donald E. Knuth
30 Jahre Weihnachtsvorlesungen frei verfügbar
Kommentarübersicht
Re: Social-Engineering-Angriff
Nasenbaer 21. Dez 2011

Stimmt schon. Zumal ich durch auslesen des Facebook-Account (das PW brauch ich dazu nich...

Re: Wallet vs. Geldbörse
RazorHail 16. Dez 2011

die ganzen kassenzettel in meinem portmonee liegen ja normalerweise auch unverschlüsselt...

Aktuell auf der Startseite von Golem.de
Updates für GPT-3 und GPT-4
GPT im Geschwindigkeitsrausch

OpenAIs Updates für GPT-4 und GPT-3 machen die Modelle zuverlässiger, vor allem aber anpassungsfähiger. Die Änderungen und neuen Features im Detail.
Von Fabian Deitelhoff

Updates für GPT-3 und GPT-4: GPT im Geschwindigkeitsrausch
Artikel
  1. Candy Crushed: Royal Match wird profitabelstes Mobile Game
    Candy Crushed
    Royal Match wird profitabelstes Mobile Game

    Die langanhaltende Dominanz von Candy Crush Saga ist vorbei. Das meiste Geld verdient jetzt ein Start-up aus Istanbul mit einem Puzzlespiel.

  2. Datenschutz: ChatGPT-Exploit findet E-Mail-Adressen von Times-Reportern
    Datenschutz
    ChatGPT-Exploit findet E-Mail-Adressen von Times-Reportern

    Eigentlich sollte der Chatbot auf diese Anfrage gar nicht antworten. Tut er es dennoch, lauern womöglich noch viel brisantere Informationen.

  3. Donald E. Knuth: 30 Jahre Weihnachtsvorlesungen frei verfügbar
    Donald E. Knuth
    30 Jahre Weihnachtsvorlesungen frei verfügbar

    Ein bisschen theoretische Informatik, Algorithmen oder Mathematik zu Weihnachten? Wer das mag, kann nun sogar alle Vorlesungen hintereinander ansehen.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Stellemarkt-Logo
Zur Akademie
Akademie-Logo
Zum Coaching
Shifoo-Logo
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    • Daily Deals • TeamGroup Cardea Graphene A440 2 TB mit zwei Kühlkörpern 112,89€ • Logitech G915 TKL LIGHTSYNC RGB 125,11€ • AVM FRITZ!Repeater 3000 AX 129€ • Philips Ambilight 77OLED808 2.599€ • MindStar: Patriot Viper VENOM 64 GB DDR5-6000 159€, XFX RX 7900 XT Speedster MERC 310 Black 789€ [Werbung]
  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
 
    •  /