Wegen Sicherheitslücke: Google Wallet sperrt Prepaid-Karten aus

Google hat eine Sicherheitslücke bei seinem NFC-Bezahldienst Wallet eingeräumt und die Bezahlfunktion mit dafür ausgestellten Prepaid-Karten vorübergehend ausgesetzt. Das vorhandene Guthaben eines verlorenen Smartphones ohne Displaysperre war auf einfache Weise zugänglich, wie Sicherheitsforscher nachgewiesen hatten. Google bezeichnete die Sperre als eine Vorsichtsmaßnahme und kündigte eine baldige Problembehebung an.

Im Forum der XDA-Developers war die Sicherheitslücke allerdings schon im Dezember diskutiert worden. Ein Zurücksetzen der Wallet-Daten erlaubte demnach ohne eine PIN-Abfrage, eine neue PIN für die Karte zu vergeben und über das Guthaben zu verfügen. Der Entdecker der Lücke empfahl dringend, nicht nur das Gerät selbst, sondern auch einzelne kritische Anwendungen vor unerwünschten Zugriffen zu schützen.

Nicht von dieser Schwachstelle betroffen sind Kreditkarten, die auch weiterhin mit Wallet zu nutzen sind. In den letzten Tagen wurde allerdings eine neue Schwachstelle bekannt, die sowohl Kredit- als auch Bankkarten betrifft. Sie setzt zwar das nicht immer einfache Rooting eines Geräts voraus, aber danach ist das Cracking der vierstelligen PIN mit einem Brute-Force-Angriff in kürzester Zeit möglich. Sicherheitsexperte Joshua Rubin beschrieb das ausführlich und führte es in einer Videodemo vor.

Osama Bedier, als Vice President für Google Wallet and Payments verantwortlich, erwähnte die Probleme in einem Blogeintrag, in dem er Wallet gleichzeitig als sicher darstellte und für seine Vorteile warb: „Tatsächlich hat Google Wallet Vorteile gegenüber Plastikgeld und Brieftaschen.“ Wallet sei sowohl durch eine PIN als auch durch die Displaysperre geschützt, wenn der Nutzer sie einsetze. Vom Rooting des eigenen Android-Geräts sei allerdings grundsätzlich abzuraten: „Manchmal entscheiden sich Nutzer dafür, wichtige Sicherheitsmechanismen außer Kraft zu setzen, um Root-Zugang auf der Systemebene ihres Mobiltelefons zu bekommen. Wir raten dringend davon ab, wenn Sie Google Wallet einsetzen wollen, da dieses Produkt nicht auf gerooteten Telefonen unterstützt wird. Deshalb führt das Rooting Ihres Geräts in den meisten Fällen zur Löschung Ihrer Google-Wallet-Daten.“

Auch wenn diese Sicherheitsprobleme grundsätzlich behebbar sind, stehen sie einer schnellen Durchsetzung von Wallet entgegen. Es erlaubt die Bezahlung von Einkäufen mit einem Handy, das dafür an einem Terminal vorbeigeführt wird. Banken sowie Netzbetreiber stehen Google Wallet ohnehin abwartend gegenüber und bereiten eigene Bezahldienste vor. Verizon Wireless blockierte sogar Google Wallet auf Galaxy Nexus, was im Zusammenhang mit einem Handy-Bezahldienst stehen könnte, den der US-Provider zusammen mit AT&T sowie T-Mobile USA etablieren will.

Google ging als erster Anbieter mit einem NFC-Bezahldienst in den Markt. Derzeit ist Google Wallet nur mit zwei Smartphones in den USA zu nutzen, Samsung Nexus S 4G bei Sprint sowie einem entsperrten Galaxy Nexus im Netz von AT&T. Weitere Smartphones mit NFC-Chip, die sich für Google Wallet eignen, sind für das erste Halbjahr angekündigt.

ZDNet.de Redaktion

Recent Posts

Studie: Ein Drittel aller E-Mails an Unternehmen sind unerwünscht

Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…

3 Tagen ago

HubPhish: Phishing-Kampagne zielt auf europäische Unternehmen

Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…

4 Tagen ago

1. Januar 2025: Umstieg auf E-Rechnung im B2B-Geschäftsverkehr

Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.

4 Tagen ago

Google schließt schwerwiegende Sicherheitslücken in Chrome 131

Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…

4 Tagen ago

Erreichbarkeit im Weihnachtsurlaub weiterhin hoch

Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…

5 Tagen ago

Hacker missbrauchen Google Calendar zum Angriff auf Postfächer

Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…

6 Tagen ago