Bild vergrößern 533 383 http://img2.magnus.de/Google-Wallet-kommt-r533x383-C-199d5250-52208811.jpg © Screenshot

© Screenshot

Schwachstelle in Googles Bezahldienst Wallet

In Deutschland wollen Banken und Sparkassen in diesem Jahr mit Versuchen zum Bezahlen per Smartphone und NFC beginnen. In Amerika ist das System allerdings bereits geknackt.

Das Zahlungssystem Google Wallet soll für Benutzer von Android Smartphones Bargeld und Kreditkarte ersetzen, da sie kontaktlos via Near Field Communication (NFC) bezahlen können. Dazu ist die Eingabe einer vierstelligen PIN notwendig. An sie heranzukommen ist nach Erkenntnissen von Sicherheitsforscher Joshua Rubin nicht allzu schwierig. Die PIN sichert jenen Bereich ab, wo im Smartphone die sicherheitskritischen Informationen gespeichert sind.

Wenn ein Android-Smartphone gerootet wird, liegt anschließend die Datenbank der NFC-App frei und es ist einfach, per Brute Force die PIN zu knacken und die fürs Bezahlen wichtigen Informationen zu extrahieren. Technische Lösungen gibt es bereits, deren Umsetzung bereitet aber noch Probleme, weil sie sehr aufwendig sind. Außerdem besteht für die Banken die Gefahr, dass sie die Verantwortung für die Sicherheit der PIN bekommen und nicht mehr Google.

Das folgende Video von Joshua Rubin zeigt die Schwachstelle in Google Wallet auf: