Forscher knacken PIN-Verschlüsselung von Google Wallet

Der Bezahldienst legt den Hash-Wert der PIN in den Metadaten ab. Er lässt sich per Brute Force innerhalb weniger Sekunden entschlüsseln. Eine von den Forschern dazu entwickelte App läuft aber nur auf gerooteten Android-Handys.

Forscher des Sicherheitsunternehmens Zvelo haben eine Schwachstelle in Googles NFC-Bezahldienst Wallet gefunden. Sie sind in der Lage, innerhalb weniger Sekunden die PIN-Nummer auszulesen, mit der die in der App gespeicherten Daten von Kredit- und Bankkarten gesichert sind.

Google Wallet

Zvelo zufolge enthalten die von der Wallet-Anwendung angelegten Metadaten einen Hash-Wert der Persönlichen Identifikationsnummer (PIN). Mittels einer speziellen Software, die aber nur auf gerooteten Android-Geräten laufe, sei es möglich, den vierstelligen PIN-Code mittels Brute Force zu entschlüsseln.

Google sei über das Problem informiert worden und habe sofort reagiert, so die Forscher. Der Suchriese plane, die PIN nicht mehr in den Metadaten zu speichern, sondern in dem geschützten Bereich, in dem sich auch die Kreditkartendaten befinden. Daraus ergäben sich allerdings neue Probleme in Bezug auf die rechtliche Beziehung zwischen Google und den Geldinstituten, mit denen der Suchriese zusammenarbeitet, heißt es vonseiten des Sicherheitsunternehmens.

„Die Befürchtung ist, dass Google nicht mehr für die Sicherheit der PIN verantwortlich wäre, sondern die Banken selbst“, schreibt Zvelo in einem Blogeintrag. „Wenn das tatsächlich der Fall ist, dann müssen die Banken wahrscheinlich ihren eigenen Richtlinien sowie den Anforderungen für die Sicherheit der PINs von Geldautomaten folgen, was offensichtlich und zu Recht eine genaue Überprüfung nach sich ziehen würde.“

Eine Gefahr für Wallet-Nutzer ergibt sich Zvelo zufolge vor allem beim Verlust eines Android-Geräts. Bis zu einer Entscheidung der Banken über die künftige Speicherung der PIN rät das Sicherheitsunternehmen betroffenen Nutzern, die eingebauten Sicherheitsfunktionen von Android 4.0 Ice Cream Sandwich zu nutzen und USB-Debugging zu deaktivieren. Das verhindere, dass ein Dieb die Bildschirmsperre umgehe. Zudem sollten Nutzer ihre Geräte nicht rooten.

Themenseiten: Forschung, Google, Handy, Mobil, Mobile, NFC, Smartphone

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

ZDNet für mobile Geräte
ZDNet-App für Android herunterladen Lesen Sie ZDNet-Artikel in Google Currents ZDNet-App für iOS

Artikel empfehlen:

Neueste Kommentare 

Noch keine Kommentare zu Forscher knacken PIN-Verschlüsselung von Google Wallet

Kommentar hinzufügen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *