Der Bezahldienst Google Wallet speichert verschiedene, sensitive Daten seiner Nutzer unverschlüsselt auf deren Handys. Wenngleich die vollständige Kredikartennummer zwar gut gesichert ist, bergen alle anderen Einträge in Summe das Potenzial für Social-Engineering-Attacken, berichtet The Register. Google verweist in einem ersten Statement auf die Sicherheitsmechanismen des Android-Betriebssystems.
Zahlreiche Informationen nicht kodiert
Um Zahlungen zu autorisieren und Zugriff auf die vollständige Nummer der eigenen Kreditkartennummer zu haben, müssen sich User von Google Wallet mit einem PIN identifzieren. Viele andere Details sind jedoch unverschlüsselt gespeichert, darunter die letzten vier Ziffern der Kreditkartennummer, der Name des Inhabers, seine E-Mail-Adresse und Transaktionsdaten. Zu diesem Ergebnis kommt eine Studie von ViaForensics http://viaforensics.com , die die Sicherheit gerooteter Android-Geräte unter die Lupe überprüft hat.
Bei Handy-Diebstahl oder erfolgreichen Malware-Attacken bietet dies eine möglicherweise breite Fläche für Social-Engineering-Angriffe. Bei diesem Verfahren soll über Kenntnis des Opfers sein Vertrauen erweckt werden, und der Betroffene somit leichter auf Betrugsversuche hereinfallen. Besondere Gefahr entsteht durch die Kombination der Informationen mit leicht zu ermittelnden Daten wie etwa der Wohnadresse.
Sicherheits-Experte verwundert
Erstaunt zeigt sich auch Mark Bower, Vizepräsident des Sicherheitsunternehmens Voltage Security http://voltage.com . Er sagt gegenüber „The Register“: „Es ist sehr überraschend, dass diese Informationen trotz der erst kürzlichen Einführung von Google Wallet nicht verschlüsselt sind, obwohl wir uns im Zeitalter der Datenkompromittierungen befinden. Das Risiko betrifft weniger die Kreditkartennummer, sondern persönliche Nutzerinformationen. Das sind genau jene Punkte, an denen ein Angreifer ansetzen kann, um zu noch wertvolleren Informationen zu gelangen.“
Er sieht in der Offenheit von Android gleichzeitig auch eine Schwäche des Betriebssystems, da sich Attacken auf diese Schwachstelle von Wallet leicht automatisieren lassen.
Google verstärkt App-Sicherheit
Internetriese Google hat auf das Ergebnis des Reports bereits reagiert. In einem Statement heißt es: „Die Studie nimmt keine Rücksicht auf die Effizienz der verschiedenen Schutzmechanismen von Android und Google Wallet. Auch auf einem gerooteten Gerät werden die Bezahlinstrumente, wie die Kreditkarten- und CVV-Nummer geschützt. Android schützt den User aktiv davor, dass Anwendungen ohne sein Wissen Root-Zugriff auf das Betriebssystem erlangen.“
Obwohl man die Wallet-Nutzer damit ausreichend geschützt wähnt, hat Google nun eine Änderung an der App des Bezahldienstes vorgenommen. So soll es nun unmöglich sein, gelöschte Daten des Wallet-Tools auf gerooteten Geräten wiederherzustellen.
Aussender: pressetext.redaktion, Ansprechpartner: Georg Pichler
E-Mail: pichler@pressetext.at Tel.: +43-1-81140-303
Website: www.pressetext.com
Geldbörse: Google Wallet als Social-Engineering-Risiko (Foto: FlickrCC/rh1n0)