iphone-ticker.de — Alles zum iPhone. Seit 2007. 38 839 Artikel
   

Smartphone als NFC-Geldbörse: Google kämpft mit zwei massiven Sicherheitslücken

Artikel auf Mastodon teilen.
16 Kommentare 16

Berührungsloses Bezahlen mit dem Smartphone. Ein Dauerbrenner-Thema, und ein Gerüchte-Kandidat der uns regelmäßig vor dem Launch-Termin neuer iPhone-Generationen vorgelegt wird.

Während sich Apple mit marktreifen Lösungen bislang noch zurück halt (siehe: „Apple legt NFC-Pläne vorerst auf Eis„) hat Google sein Bezahlsystem „Wallet“ im September 2011 in den USA eingeführt. Ein Schritt den nicht nur die deutschen Sparkassen damals als kritisch einstuften – und ein Feature das jetzt mit zwei klaffenden Sicherheitslücken zu kämpfen hat.

So lassen sich – ein Android-Jailbreak vorausgesetzt – nicht nur die PIN-Nummern des Google Wallets binnen weniger Sekunden auslesen, sondern bei Bedarf auch komplett neu vergeben.

Während die hier von Joshua Rubin demonstrierte PIN-Attacke, einen Brute-Force-Angriff auf die Sicherungsdatei der Wallet-Applikation fährt:

„Google Wallet allows only five invalid PIN entry attempts before locking the user out. With this attack, the PIN can be revealed without even a single invalid attempt. This completely negates all of the security of this mobile phone payment system.“

Lässt sich durch das Zurücksetzen der Wallet-Werkseinstellungen einfach ein neues Passwort vergeben, das dennoch auf das vorhandene Prepaid-Guthaben der zuvor verbundenen Kreditkarte zugreifen kann.

All a person needs to be able to do this is access to your phone and within 1-2 minutes they will have complete access to your Google Wallet account.

Google hat die Sicherheitslücken inzwischen bestätigt und empfiehlt die Konto-Sperrung im Fall eines Geräte-Verlustes. Eine Fehlerbehebung sei in Arbeit.


(Direkt-Link)


(Direkt-Link)

Dieser Artikel enthält Affiliate-Links. Wer darüber einkauft unterstützt uns mit einem Teil des unveränderten Kaufpreises. Was ist das?
10. Feb 2012 um 13:56 Uhr von Nicolas Fehler gefunden?


    Zum Absenden des Formulars muss Google reCAPTCHA geladen werden.
    Google reCAPTCHA Datenschutzerklärung

    Google reCAPTCHA laden

    16 Kommentare bisher. Dieser Unterhaltung fehlt Deine Stimme.
  • Ahhhh jetzt versteh ich die Forderung von Google in höhe von 2,5% von Apple für die Patente! Die müssen Ihren Mist damit verbessern…..

  • Brauche ich nicht. EC-Karte, Kreditkarte und Bargeld reichen als Möglichkeiten aus. Und da gabs doch mal diese geldchip für die EC-Karte. Hat sich nicht durchgesetzt. Außer in Holland, da ist „Chip-knipp“ weit verbreitet.
    Meine Vermutung: NFC wird sich in der nächsten Dekade nicht flächendeckend durchsetzten.

    • Das mit der Chipkarte würde ich so nicht unterschreiben – ich nutze sie regelmässig, wenn ich in einem Parkhaus parke, da erspart es einem nämlich das Schlange stehen vor dem Automaten beim Bezahlen ;-)

    • Wir haben in der Uni mensa so Mensa Karten die man zum bezahlen nicht mal aus dem Portmonee nehmen muss… Also ich finds klasse, auch wenn da die bindung ans Telefon ein bisschen kritisch ist. Von den Sparkasse soll es bald auch nfc Karten geben, die man aufladen kann und womit man dann auch bezahlen kann. Bei Verlust ist das dann das gleiche wie beim Verlust von Bargeld.

  • Mit solchen unsicheren Betriebssystemen wie Android oder gejailbreakten sicheren Betriebssystemen wie iOS oder Windows Phone 7 würde ich NFC niemals einsetzen. Zu leicht ist dort der Zugriff auf beliebige Dateien und damit auch der Dateien des NFC Sstems. Da ist das abgeriegelte Windows Phone 7 und iOS dem Android klar überlegen.

    • Ein Angreifer kann dein iPhone auch jailbreaken und dann an die Informationen kommen. Klappt derzeit mit JEDEM IPhone, auch deinem, dauert halt nur 5 Minuten länger als wenn du es nicht gejailbreakt hättest.

  • Wenigstens steht google zu seinen Fehlern, und schweigt sie nicht einfach tot oder verschickt einfach mal ein paar neue Geräte ;)

  • War von euvh schon mal jemand in HongKong und ist in den Genuss einer Octopuscard gekommen?
    Es gibt nichts praktischeres als alle Kleinbeträge einfach mit einer Karte zu zahlen.
    Ubahn, Kaffee, Getränke, Cheeseburger…

    • Oh ja. Habe dort ein halbes Jahr gelebt und die Karte mehrmals täglich gebraucht. Schwärme noch heute davon :)

    • das mit dem wenig mehr Luxus mag ja stimmen. aber man wird durch diese Systeme viel zu gläsern! es gibt schon Idioten die sich einen RFID-Chip einsetzen lassen. Kranke kontrollierte Welt. und die jugend ist idr zu gesteuert um die Tragweite solcher Techniken zu erkennen. NFC und RFID sollte man als freier Mensch boykottieren, ebenso wie ACTA. wir sind Menschen keine Sklaven.

      • Da hast du vollkommen Recht, man sollte sich bei aller Bequemlichkeit immer die Risiken solcher Techniken bewusst machen. Das Data-Mining schreitet so schnell voran, man kann noch gar nicht absehen, was in 10 Jahren mit unseren Daten geschieht.

      • Kürzlich ist eine App Namens Stocard im Store aufgeschlagen. Die Reaktion darauf, Jubel ohne Ende, … Manche wollen es wirklich so.

  • Erstens heißt das nicht PIN-Nummer (wenn überhaupt, dann PIN-ummer ;-) ) und zweites verstehe ich das Problem nicht. Wenn ich heute eine Kreitkarte verliere, kann da auch jeder mein Konto leer räumen. Oder das Thema Geldkarte, auch hier ist das Guthaben futsch, wenn ich die Karte verliere und jemand Unehrliches sie findet, bzw. sie klaut. Es geht sogar so weit, dass Bargeld, was man im Portmonee hat auch nicht gesichert ist. Das kann sich ein Dieb einfach nehmen und es überall ausgeben. Überall!! Skandal!

  • Redet mit. Seid nett zueinander!

    Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

    ifun.de ist das dienstälteste europäische Onlineportal rund um Apples Lifestyle-Produkte.
    Wir informieren täglich über Aktuelles und Interessantes aus der Welt rund um iPhone, iPad, Mac und sonstige Dinge, die uns gefallen.
    Insgesamt haben wir 38839 Artikel in den vergangenen 6322 Tagen veröffentlicht. Und es werden täglich mehr.
    ifun.de — Love it or leave it   ·   Copyright © 2024 aketo GmbH   ·   Impressum   ·   Cookie Einstellungen   ·   Datenschutz   ·   Safari-Push aketo GmbH Powered by SysEleven