Schwachstelle in Googles Bezahldienst Wallet

[Christoph]

Zitat:

In Deutschland wollen Banken und Sparkassen in diesem Jahr mit Versuchen zum Bezahlen per Smartphone und NFC beginnen. In Amerika ist das System allerdings bereits geknackt.

Das Zahlungssystem Google Wallet soll für Benutzer von Android Smartphones Bargeld und Kreditkarte ersetzen, da sie kontaktlos via Near Field Communication (NFC) bezahlen können. Dazu ist die Eingabe einer vierstelligen PIN notwendig. An sie heranzukommen ist nach Erkenntnissen von Sicherheitsforscher Joshua Rubin nicht allzu schwierig. Die PIN sichert jenen Bereich ab, wo im Smartphone die sicherheitskritischen Informationen gespeichert sind.

Wenn ein Android-Smartphone gerootet wird, liegt anschließend die Datenbank der NFC-App frei und es ist einfach, per Brute Force die PIN zu knacken und die fürs Bezahlen wichtigen Informationen zu extrahieren. Technische Lösungen gibt es bereits, deren Umsetzung bereitet aber noch Probleme, weil sie sehr aufwendig sind. Außerdem besteht für die Banken die Gefahr, dass sie die Verantwortung für die Sicherheit der PIN bekommen und nicht mehr Google.

Quelle mit Video: http://www.pc-magazin.de/news/schwac...49910,185.html

[Christoph]

Zitat:

Google lässt Kunden wieder mit Wallet zahlen

Google hat die Guthaben-Karten seiner Wallet-Kunden wieder freigeschaltet, wie das Unternehmen berichtet. Auch neue Karten werden laut Google wieder ausgestellt. Das Unternehmen hatte sein Kartensystem gesperrt, nachdem bekannt worden war, dass sich die PIN-Sperre der Wallet-App leicht umgehen ließ – vorausgesetzt, auf dem Smartphone war kein weiterer Zugriffsschutz (etwa ein Passcode) aktiv.

Es reichte aus, die App über das Einstellungsmenü zurückzusetzen, um eine neue PIN setzen und über das Guthaben der Wallet-Karte verfügen zu können. Google hat das Problem auf radikale Weise gelöst: Nach dem Zurücksetzen der App erhält man beim Zugriff auf die Wallet-Karte nun nur noch eine Fehlermeldung, wie The Verge berichtet. Vermutlich hat Google dazu Änderungen an den Servern vorgenommen. Ein Update der Wallet-App ist dazu anscheinend nicht erforderlich.

Unterdessen hat sich herausgestellt, dass ein weiteres Sicherheitsproblem offensichtlich kritischer ist, als zunächst von Google angenommen. Ein Sicherheitsforscher hatte demonstriert, wie man die vom Anwender gesetzte Wallet-PIN auslesen kann, ohne die App zurückzusetzen – dadurch hat man Zugriff auf alle mit der App verknüpften Bezahlmittel.

Einzige Voraussetzung hierfür ist, dass man sich auf dem Gerät Root-Rechte verschafft ("rooten"). Google hat daraufhin argumentiert, dass man von der Nutzung der Wallet-App auf gerooteten Geräten ohnehin abrate. Außerdem würden die Daten der Wallet-App in der Regel durch das Rooten gelöscht – etwa bei dem Versuch, ein unmodifiziertes Gerät zu entsperren, um die PIN anschließend auszulesen.

Der Sicherheitsforscher hat nun nachgelegt und sein Angriffsszenario auf "ungerootete" Geräte ausgeweitet. Durch das Ausnutzen einer bekannten Sicherheitslücke im Android zugrunde liegenden Linux-Kernel gelingt es ihm, ohne Datenverlust Root-Rechte zu bekommen. Hierauf hat Google bislang nicht reagiert. (rei)

Quelle: http://www.heise.de/newsticker/meldu...n-1434649.html