Forscher knacken PIN-Verschlüsselung von Google Wallet

Forscher des Sicherheitsunternehmens Zvelo haben eine Schwachstelle in Googles NFC-Bezahldienst Wallet gefunden. Sie sind in der Lage, innerhalb weniger Sekunden die PIN-Nummer auszulesen, mit der die in der App gespeicherten Daten von Kredit- und Bankkarten gesichert sind.

Zvelo zufolge enthalten die von der Wallet-Anwendung angelegten Metadaten einen Hash-Wert der Persönlichen Identifikationsnummer (PIN). Mittels einer speziellen Software, die aber nur auf gerooteten Android-Geräten laufe, sei es möglich, den vierstelligen PIN-Code mittels Brute Force zu entschlüsseln.

Google sei über das Problem informiert worden und habe sofort reagiert, so die Forscher. Der Suchriese plane, die PIN nicht mehr in den Metadaten zu speichern, sondern in dem geschützten Bereich, in dem sich auch die Kreditkartendaten befinden. Daraus ergäben sich allerdings neue Probleme in Bezug auf die rechtliche Beziehung zwischen Google und den Geldinstituten, mit denen der Suchriese zusammenarbeitet, heißt es vonseiten des Sicherheitsunternehmens.

„Die Befürchtung ist, dass Google nicht mehr für die Sicherheit der PIN verantwortlich wäre, sondern die Banken selbst“, schreibt Zvelo in einem Blogeintrag. „Wenn das tatsächlich der Fall ist, dann müssen die Banken wahrscheinlich ihren eigenen Richtlinien sowie den Anforderungen für die Sicherheit der PINs von Geldautomaten folgen, was offensichtlich und zu Recht eine genaue Überprüfung nach sich ziehen würde.“

Eine Gefahr für Wallet-Nutzer ergibt sich Zvelo zufolge vor allem beim Verlust eines Android-Geräts. Bis zu einer Entscheidung der Banken über die künftige Speicherung der PIN rät das Sicherheitsunternehmen betroffenen Nutzern, die eingebauten Sicherheitsfunktionen von Android 4.0 Ice Cream Sandwich zu nutzen und USB-Debugging zu deaktivieren. Das verhindere, dass ein Dieb die Bildschirmsperre umgehe. Zudem sollten Nutzer ihre Geräte nicht rooten.