Smartphone als NFC-Geldbörse: Google kämpft mit zwei massiven Sicherheitslücken

Berührungsloses Bezahlen mit dem Smartphone. Ein Dauerbrenner-Thema, und ein Gerüchte-Kandidat der uns regelmäßig vor dem Launch-Termin neuer iPhone-Generationen vorgelegt wird.

Während sich Apple mit marktreifen Lösungen bislang noch zurück halt (siehe: „Apple legt NFC-Pläne vorerst auf Eis„) hat Google sein Bezahlsystem „Wallet“ im September 2011 in den USA eingeführt. Ein Schritt den nicht nur die deutschen Sparkassen damals als kritisch einstuften – und ein Feature das jetzt mit zwei klaffenden Sicherheitslücken zu kämpfen hat.

So lassen sich – ein Android-Jailbreak vorausgesetzt – nicht nur die PIN-Nummern des Google Wallets binnen weniger Sekunden auslesen, sondern bei Bedarf auch komplett neu vergeben.

Während die hier von Joshua Rubin demonstrierte PIN-Attacke, einen Brute-Force-Angriff auf die Sicherungsdatei der Wallet-Applikation fährt:

„Google Wallet allows only five invalid PIN entry attempts before locking the user out. With this attack, the PIN can be revealed without even a single invalid attempt. This completely negates all of the security of this mobile phone payment system.“

Lässt sich durch das Zurücksetzen der Wallet-Werkseinstellungen einfach ein neues Passwort vergeben, das dennoch auf das vorhandene Prepaid-Guthaben der zuvor verbundenen Kreditkarte zugreifen kann.

All a person needs to be able to do this is access to your phone and within 1-2 minutes they will have complete access to your Google Wallet account.

Google hat die Sicherheitslücken inzwischen bestätigt und empfiehlt die Konto-Sperrung im Fall eines Geräte-Verlustes. Eine Fehlerbehebung sei in Arbeit.