Seit Handy- Bezahldienste per NFC (Near Field Communication) immer beliebter werden, bemängeln Kritiker, die Technik sei nicht sicher genug. Dies hat sich nun binnen zwei Tagen gleich zweimal bestätigt: Zwei voneinander unabhängige Teams entdeckten schwere Sicherheitslücken in Googles elektronischer Geldbörse "Wallet". Hacken ist dafür gar nicht nötig.
m Mittwoch informierte die Sicherheitsfirma Zvelo über eine Sicherheitslücke, allerdings betraf diese ausschließlich gerootete Smartphones und damit wohl lediglich einen kleinen Teil der Wallet- Nutzer. Nur einen Tag später hat jedoch der Technologie- Blog Link veralten (gelöscht) entdeckt, dass derselbe Fehler bei allen Android- Handys ausgenützt werden kann. Noch schlimmer für Nutzer: Hacking- Kenntnisse sind gar nicht nötig, um einen Wallet- Account virtuell auszurauben. Ein Krimineller muss lediglich ein bis zwei Minuten Zugang zum Gerät haben. Zuerst löscht er die Daten der Wallet- App. So wird diese dazu genötigt, sich auf die Grundeinstellungen zurückzusetzen - auch der vom Smartphone- Besitzer gewählte PIN- Code geht beim Löschen verloren.
Neuer PIN- Code ohne Passwort- Abfrage
Der Kern des Problems liegt darin, dass Wallet an ein Gerät gebunden ist, statt an einen Google- Zugang. Fährt die App also neu hoch, muss nicht das Passwort der Google- Mail- Adresse eingegeben werden. Stattdessen lässt Google Wallet den Benutzer - ob Handy- Besitzer oder -Dieb - einfach einen neuen PIN- Code setzen. Ab diesem Zeitpunkt hat der Kriminelle Zugriff auf das gesamte Prepaid- Guthaben, das auf das Handy aufgeladen wurde.
Google bestätigt Sicherheitslücke
Die größte Gefahr lauert, wenn das Handy verloren geht. Google hat die Sicherheitslücke bereits bestätigt und rät allen Wallet- Nutzern in den USA (andernorts ist die App noch kaum erhältlich), die ihr Handy verloren haben oder es verkaufen möchten, sich bei einer kostenlosen Hotline zu melden. Dort könne das Prepaid- Guthaben gesperrt werden, so der Konzern. Man arbeite bereits an einem automatischen Update, um die Lücke zu stopfen. Bis dahin rät Google allen Nutzern, den Bildschirm mittels PIN- Code zu sperren, um den Zugang zu Wallet und anderen Daten zu erschweren.
Quelle: Krone
Neuer PIN- Code ohne Passwort- Abfrage
Der Kern des Problems liegt darin, dass Wallet an ein Gerät gebunden ist, statt an einen Google- Zugang. Fährt die App also neu hoch, muss nicht das Passwort der Google- Mail- Adresse eingegeben werden. Stattdessen lässt Google Wallet den Benutzer - ob Handy- Besitzer oder -Dieb - einfach einen neuen PIN- Code setzen. Ab diesem Zeitpunkt hat der Kriminelle Zugriff auf das gesamte Prepaid- Guthaben, das auf das Handy aufgeladen wurde.
Google bestätigt Sicherheitslücke
Die größte Gefahr lauert, wenn das Handy verloren geht. Google hat die Sicherheitslücke bereits bestätigt und rät allen Wallet- Nutzern in den USA (andernorts ist die App noch kaum erhältlich), die ihr Handy verloren haben oder es verkaufen möchten, sich bei einer kostenlosen Hotline zu melden. Dort könne das Prepaid- Guthaben gesperrt werden, so der Konzern. Man arbeite bereits an einem automatischen Update, um die Lücke zu stopfen. Bis dahin rät Google allen Nutzern, den Bildschirm mittels PIN- Code zu sperren, um den Zugang zu Wallet und anderen Daten zu erschweren.
Quelle: Krone
