Sensible Daten unverschlüsselt gespeichert

Sicherheitslücken in Google Wallet entdeckt

Das auf Smartphones und Tablets spezialisierte Sicherheitsunternehmen viaForensics hat mehrere Sicherheitslücken in Googles „elektronischer Geldbörse“ Google Wallet entdeckt. Betroffen davon sind derzeit allerdings lediglich US-Bürger.

Dabei geht es um zahlreichen sensible Daten, die nicht verschlüsselt auf dem entsprechenden Smartphone gesichert sind. Im Einzelnen handelt es sich dabei um die mit dem Google-Wallet-Account verknüpfte E-Mail-Adresse, die letzten vier Ziffern der hinterlegten Kreditkarte, deren Ablaufdatum, der Name des Karteninhabers, der derzeitige Belastungsstand, das Kreditlimit sowie Einzelheiten zu den getätigten Transaktionen in Form von Ort und Datum.

Einzig die ersten zwölf Ziffern der Kreditkartennummer sowie die vierstellige Prüfsumme werden verschlüsselt abgelegt. Dennoch sei es möglich, mit den angreifbaren Informationen Schaden anzurichten, so die Einschätzung, nicht zuletzt, da „[...] die Anzahl der Daten, die Google Wallet unverschlüsselt speichert, signifikant ist.“. Besonders bedenklich sei es, dass die von Google Analytics erfassten Aktivitäten ebenfalls problemlos abgreifbar wären, entweder bei einer ungeschützt Übertragung via Internet oder auf dem Gerät selbst.

Zwei Lücken hat Google laut viaForensics mittlerweile geschlossen. Unter anderem wurden einem Google-Wallet-Account zugeordnete Daten beim Zurücksetzen oder dem manuellen entfernen von Transaktionen nicht vom Smartphone gelöscht. Zudem wird im Gerät nun keine PNG-Datei mehr angelegt, die die Abbildung einer Kreditkarte mitsamt den letzten vier Ziffern der Kreditkartennummer, dem Namen des Kreditkarteninhabers sowie das Ablaufdatum enthielt. Diese Daten sind allerdings nach wie vor in Textform abrufbar.

Voraussetzung um an die gesamten Daten zu gelangen ist aber, dass das Smartphone gerootet worden ist. Zudem sind derzeit wie bereits erwähnt lediglich Nutzer in den USA betroffen, da Google Wallet lediglich dort auf dem Smartphones Nexus S 4G des Providers Sprint nutzbar ist.

Der Dienst wurde Mitte September von Google in Zusammenarbeit mit der Citigroup, MasterCard und Sprint gestartet. In der Google-Wallet-App kann der Nutzer seinen Account mit einer oder mehreren Kreditkarten verknüpfen und so bei am Projekt teilnehmenden Händlern via NFC und Eingabe einer PIN bargeldlos zahlen.