Wegen Sicherheitslücke: Google Wallet sperrt Prepaid-Karten aus

Google hat eine Sicherheitslücke bei seinem NFC-Bezahldienst Wallet eingeräumt und die Bezahlfunktion mit dafür ausgestellten Prepaid-Karten vorübergehend ausgesetzt. Das vorhandene Guthaben eines verlorenen Smartphones ohne Displaysperre war auf einfache Weise zugänglich, wie Sicherheitsforscher nachgewiesen hatten. Google bezeichnete die Sperre als eine Vorsichtsmaßnahme und kündigte eine baldige Problembehebung an.

Im Forum der XDA-Developers war die Sicherheitslücke allerdings schon im Dezember diskutiert worden. Ein Zurücksetzen der Wallet-Daten erlaubte demnach ohne eine PIN-Abfrage, eine neue PIN für die Karte zu vergeben und über das Guthaben zu verfügen. Der Entdecker der Lücke empfahl dringend, nicht nur das Gerät selbst, sondern auch einzelne kritische Anwendungen vor unerwünschten Zugriffen zu schützen.

Nicht von dieser Schwachstelle betroffen sind Kreditkarten, die auch weiterhin mit Wallet zu nutzen sind. In den letzten Tagen wurde allerdings eine neue Schwachstelle bekannt, die sowohl Kredit- als auch Bankkarten betrifft. Sie setzt zwar das nicht immer einfache Rooting eines Geräts voraus, aber danach ist das Cracking der vierstelligen PIN mit einem Brute-Force-Angriff in kürzester Zeit möglich. Sicherheitsexperte Joshua Rubin beschrieb das ausführlich und führte es in einer Videodemo vor.

Osama Bedier, als Vice President für Google Wallet and Payments verantwortlich, erwähnte die Probleme in einem Blogeintrag, in dem er Wallet gleichzeitig als sicher darstellte und für seine Vorteile warb: „Tatsächlich hat Google Wallet Vorteile gegenüber Plastikgeld und Brieftaschen.“ Wallet sei sowohl durch eine PIN als auch durch die Displaysperre geschützt, wenn der Nutzer sie einsetze. Vom Rooting des eigenen Android-Geräts sei allerdings grundsätzlich abzuraten: „Manchmal entscheiden sich Nutzer dafür, wichtige Sicherheitsmechanismen außer Kraft zu setzen, um Root-Zugang auf der Systemebene ihres Mobiltelefons zu bekommen. Wir raten dringend davon ab, wenn Sie Google Wallet einsetzen wollen, da dieses Produkt nicht auf gerooteten Telefonen unterstützt wird. Deshalb führt das Rooting Ihres Geräts in den meisten Fällen zur Löschung Ihrer Google-Wallet-Daten.“

Auch wenn diese Sicherheitsprobleme grundsätzlich behebbar sind, stehen sie einer schnellen Durchsetzung von Wallet entgegen. Es erlaubt die Bezahlung von Einkäufen mit einem Handy, das dafür an einem Terminal vorbeigeführt wird. Banken sowie Netzbetreiber stehen Google Wallet ohnehin abwartend gegenüber und bereiten eigene Bezahldienste vor. Verizon Wireless blockierte sogar Google Wallet auf Galaxy Nexus, was im Zusammenhang mit einem Handy-Bezahldienst stehen könnte, den der US-Provider zusammen mit AT&T sowie T-Mobile USA etablieren will.

Google ging als erster Anbieter mit einem NFC-Bezahldienst in den Markt. Derzeit ist Google Wallet nur mit zwei Smartphones in den USA zu nutzen, Samsung Nexus S 4G bei Sprint sowie einem entsperrten Galaxy Nexus im Netz von AT&T. Weitere Smartphones mit NFC-Chip, die sich für Google Wallet eignen, sind für das erste Halbjahr angekündigt.