Ist Google Wallet unsicher?

16. Dezember 2011, 10:11 Uhr | Archiv

Der Bezahldienst Google Wallet speichert verschiedene, sensitive Daten seiner Nutzer unverschlüsselt auf deren Handys. Wenngleich die vollständige Kredikartennummer zwar gut gesichert ist, bergen alle anderen Einträge in Summe das Potenzial für Social-Engineering-Attacken, berichtet The Register. Google verweist in einem ersten Statement auf die Sicherheitsmechanismen des Android-Betriebssystems.

'Google Wallet' - (Quelle: arstechnica.net)

Um Zahlungen zu autorisieren und Zugriff auf die vollständige Nummer der eigenen Kreditkartennummer zu haben, müssen sich User von Google Wallet mit einem PIN identifzieren. Viele andere Details sind jedoch unverschlüsselt gespeichert, darunter die letzten vier Ziffern der Kreditkartennummer, der Name des Inhabers, seine E-Mail-Adresse und Transaktionsdaten. Zu diesem Ergebnis kommt eine Studie von ViaForensics, die die Sicherheit gerooteter Android-Geräte unter die Lupe überprüft hat.

Bei Handy-Diebstahl oder erfolgreichen Malware-Attacken bietet dies eine möglicherweise breite Fläche für Social-Engineering-Angriffe. Bei diesem Verfahren soll über Kenntnis des Opfers sein Vertrauen erweckt werden, und der Betroffene somit leichter auf Betrugsversuche hereinfallen. Besondere Gefahr entsteht durch die Kombination der Informationen mit leicht zu ermittelnden Daten wie etwa der Wohnadresse.

Erstaunt zeigt sich auch Mark Bower, Vizepräsident des Sicherheitsunternehmens Voltage Security. Er sagt gegenüber „The Register“: „Es ist sehr überraschend, dass diese Informationen trotz der erst kürzlichen Einführung von Google Wallet nicht verschlüsselt sind, obwohl wir uns im Zeitalter der Datenkompromittierungen befinden. Das Risiko betrifft weniger die Kreditkartennummer, sondern persönliche Nutzerinformationen. Das sind genau jene Punkte, an denen ein Angreifer ansetzen kann, um zu noch wertvolleren Informationen zu gelangen.“

Er sieht in der Offenheit von Android gleichzeitig auch eine Schwäche des Betriebssystems, da sich Attacken auf diese Schwachstelle von Wallet leicht automatisieren lassen. Internetriese Google hat auf das Ergebnis des Reports bereits reagiert. In einem Statement heißt es: „Die Studie nimmt keine Rücksicht auf die Effizienz der verschiedenen Schutzmechanismen von Android und Google Wallet. Auch auf einem gerooteten Gerät werden die Bezahlinstrumente, wie die Kreditkarten- und CVV-Nummer geschützt. Android schützt den User aktiv davor, dass Anwendungen ohne sein Wissen Root-Zugriff auf das Betriebssystem erlangen.“

Obwohl man die Wallet-Nutzer damit ausreichend geschützt wähnt, hat Google nun eine Änderung an der App des Bezahldienstes vorgenommen. So soll es nun unmöglich sein, gelöschte Daten des Wallet-Tools auf gerooteten Geräten wiederherzustellen.

Was meinen Sie zu dem Thema? Tauschen Sie sich über die Kommentarfunktion mit unseren anderen Lesern aus. Zudem können Sie sich täglich über unsere Facebook-Seite auf dem neuesten Stand halten oder dort unsere Beiträge kommentieren.

(Georg Pichler/Marco Schürmann | Quelle: pressetext.com)

Über den Autor

Marco Schürmann

0 Kommentare


Was meinen Sie zu diesem Thema?

Wir freuen uns über Ihren Kommentar.

Schreibe einen Kommentar

* Pflichtangaben; Ihre E-Mail-Adresse wird nicht veröffentlicht.
 

Copyright

Copyright 2015 Bernd Zipper, zipcon consulting GmbH

Archiv