Do, 14. Dezember 2017

"Wallet" unsicher

10.02.2012 10:48

Googles Handy-Bezahldienst sehr leicht auszuhebeln

Seit Handy-Bezahldienste per NFC (Near Field Communication) immer beliebter werden, bemängeln Kritiker, die Technik sei nicht sicher genug. Dies hat sich nun binnen zwei Tagen gleich zweimal bestätigt: Zwei voneinander unabhängige Teams entdeckten schwere Sicherheitslücken in Googles elektronischer Geldbörse "Wallet". Hacken ist dafür gar nicht nötig.

Am Mittwoch informierte die Sicherheitsfirma Zvelo über eine Sicherheitslücke, allerdings betraf diese ausschließlich gerootete Smartphones und damit wohl lediglich einen kleinen Teil der Wallet-Nutzer. Nur einen Tag später hat jedoch der Technologie-Blog "The Smartphone Champ" entdeckt, dass derselbe Fehler bei allen Android-Handys ausgenützt werden kann.

Noch schlimmer für Nutzer: Hacking-Kenntnisse sind gar nicht nötig, um einen Wallet-Account virtuell auszurauben. Ein Krimineller muss lediglich ein bis zwei Minuten Zugang zum Gerät haben. Zuerst löscht er die Daten der Wallet-App. So wird diese dazu genötigt, sich auf die Grundeinstellungen zurückzusetzen - auch der vom Smartphone-Besitzer gewählte PIN-Code geht beim Löschen verloren.

Neuer PIN-Code ohne Passwort-Abfrage
Der Kern des Problems liegt darin, dass Wallet an ein Gerät gebunden ist, statt an einen Google-Zugang. Fährt die App also neu hoch, muss nicht das Passwort der Google-Mail-Adresse eingegeben werden. Stattdessen lässt Google Wallet den Benutzer - ob Handy-Besitzer oder -Dieb - einfach einen neuen PIN-Code setzen. Ab diesem Zeitpunkt hat der Kriminelle Zugriff auf das gesamte Prepaid-Guthaben, das auf das Handy aufgeladen wurde.

Google bestätigt Sicherheitslücke
Die größte Gefahr lauert, wenn das Handy verloren geht. Google hat die Sicherheitslücke bereits bestätigt und rät allen Wallet-Nutzern in den USA (andernorts ist die App noch kaum erhältlich), die ihr Handy verloren haben oder es verkaufen möchten, sich bei einer kostenlosen Hotline zu melden. Dort könne das Prepaid-Guthaben gesperrt werden, so der Konzern. Man arbeite bereits an einem automatischen Update, um die Lücke zu stopfen. Bis dahin rät Google allen Nutzern, den Bildschirm mittels PIN-Code zu sperren, um den Zugang zu Wallet und anderen Daten zu erschweren.

Das könnte Sie auch interessieren
Kommentar schreiben

Sie haben einen themenrelevanten Kommentar? Dann schreiben Sie hier Ihr Storyposting! Sie möchten mit anderen Usern Meinungen austauschen oder länger über ein Thema oder eine Story diskutieren? Dafür steht Ihnen jederzeit unser krone.at-Forum, eines der größten Internetforen Österreichs, zur Verfügung. Sowohl im Forum als auch bei Storypostings bitten wir Sie, unsere AGB und die Netiquette einzuhalten!
Diese Kommentarfunktion wird prä-moderiert. Eingehende Beiträge werden zunächst geprüft und anschließend veröffentlicht.

Kommentar schreiben
500 Zeichen frei
Kommentare
324

User-Beiträge geben nicht notwendigerweise die Meinung des Betreibers/der Redaktion bzw. von Krone Multimedia (KMM) wieder. In diesem Sinne distanziert sich die Redaktion/der Betreiber von den Inhalten in diesem Diskussionsforum. KMM behält sich insbesondere vor, gegen geltendes Recht verstoßende, den guten Sitten oder der Netiquette widersprechende bzw. dem Ansehen von KMM zuwiderlaufende Beiträge zu löschen, diesbezüglichen Schadenersatz gegenüber dem betreffenden User geltend zu machen, die Nutzer-Daten zu Zwecken der Rechtsverfolgung zu verwenden und strafrechtlich relevante Beiträge zur Anzeige zu bringen (siehe auch AGB).

Für den Newsletter anmelden