{"id":30550,"date":"2012-02-10T13:56:54","date_gmt":"2012-02-10T12:56:54","guid":{"rendered":"http:\/\/www.iphone-ticker.de\/?p=30550"},"modified":"2012-02-10T14:03:39","modified_gmt":"2012-02-10T13:03:39","slug":"smartphone-als-nfc-geldborse-google-kampft-mit-zwei-massiven-sicherheitslucken","status":"publish","type":"post","link":"https:\/\/www.iphone-ticker.de\/smartphone-als-nfc-geldborse-google-kampft-mit-zwei-massiven-sicherheitslucken-30550\/","title":{"rendered":"Smartphone als NFC-Geldb\u00f6rse: Google k\u00e4mpft mit zwei massiven Sicherheitsl\u00fccken"},"content":{"rendered":"

Ber\u00fchrungsloses Bezahlen mit dem Smartphone. Ein Dauerbrenner-Thema, und ein Ger\u00fcchte-Kandidat der uns regelm\u00e4\u00dfig vor dem Launch-Termin neuer iPhone-Generationen vorgelegt wird<\/a>. <\/p>\n

W\u00e4hrend sich Apple mit marktreifen L\u00f6sungen bislang noch zur\u00fcck halt (siehe: „Apple legt NFC-Pl\u00e4ne vorerst auf Eis<\/a>„) hat Google sein Bezahlsystem „Wallet“ im September 2011 in den USA eingef\u00fchrt<\/a>. Ein Schritt den nicht nur die deutschen Sparkassen damals als kritisch <\/a> einstuften – und ein Feature das jetzt mit zwei klaffenden Sicherheitsl\u00fccken zu k\u00e4mpfen hat. <\/p>\n

\"\"<\/p>\n

So lassen sich – ein Android-Jailbreak vorausgesetzt – nicht nur die PIN-Nummern des Google Wallets binnen weniger Sekunden auslesen<\/a>, sondern bei Bedarf auch komplett neu vergeben. <\/p>\n

W\u00e4hrend die hier<\/a> von Joshua Rubin demonstrierte PIN-Attacke, einen Brute-Force-Angriff auf die Sicherungsdatei der Wallet-Applikation f\u00e4hrt: <\/p>\n

„Google Wallet allows only five invalid PIN entry attempts before locking the user out. With this attack, the PIN can be revealed without even a single invalid attempt. This completely negates all of the security of this mobile phone payment system.“<\/p><\/blockquote>\n

L\u00e4sst sich durch das Zur\u00fccksetzen<\/a> der Wallet-Werkseinstellungen einfach ein neues Passwort vergeben, das dennoch auf das vorhandene Prepaid-Guthaben der zuvor verbundenen Kreditkarte zugreifen kann. <\/p>\n

All a person needs to be able to do this is access to your phone and within 1-2 minutes they will have complete access to your Google Wallet account.<\/p><\/blockquote>\n

Google hat die Sicherheitsl\u00fccken inzwischen best\u00e4tigt<\/a> und empfiehlt die Konto-Sperrung im Fall eines Ger\u00e4te-Verlustes. Eine Fehlerbehebung sei in Arbeit. <\/p>\n