16.02.2012
Sicherheit
Ist Googles Wallet leicht zu knacken?
Autor: Thorsten Eggeling
Google hat unlängst eine Sicherheitslücke im Bezahldienst Wallet einräumen müssen. Dadurch war es Dieben oder Findern verlorener Smartphones problemlos möglich, das vorhandene Guthaben ohne Displaysperre zu plündern.
Google hatte aufgrund einer Sicherheitslücke die Bezahlfunktion Wallet vorübergehend ausgesetzt. Inzwischen scheint das Problem behoben zu sein, denn Google hat die Guthaben-Karten seiner Wallet-Nutzer wieder freigeschaltet.
Die Lücke ist schon seit längerem bekannt. Im Forum von XDA-Developers wurde bereits im Dezember 2011 darüber diskutiert. Seit damals ist bekannt, dass Dritte ohne PIN-Abfrage durch das Zurücksetzen der Wallet-Daten eine neue PIN für die Karte erhalten können. Es genügt, die App im Einstellungsmenü zurückzusetzen, um über das Guthaben zu verfügen. Der Entdecker riet Google dazu, neben dem Gerät auch die kritischen Anwendungen vor unerlaubtem Zugriff zu schützen.
Inzwischen hat Google das Problem dadurch behoben, dass der Nutzer nach dem Zurücksetzen der App beim Zugriff auf die Wallet-Karte nun nur noch eine Fehlermeldung erhält. Offensichtlich hat Google dazu nur die Software auf dem Server geändert. Es ist kein Update der Wallet-App auf dem Smartphone nötig.
Jedoch gibt es ein weiteres, deutlich kritischeres Sicherheitsproblem. Nach Erkenntnissen des Sicherheitsexperten Joshua Rubin kann die vom Anwender gesetzte Wallet-PIN ausgelesen werden, auch ohne die App zurückzusetzen. So kann auf alle mit der App verknüpften Kredit- oder Bankkarten zugegriffen werden. Dafür muss das Smartphone aber zuvor gerootet werden. Danach lassen sich die vierstelligen PINs mit einem Brute-Force-Angriff knacken.
Google sieht diese Gefahr nicht. Das Unternehmen rät grundsätzlich von der Nutzung der Wallet-App auf gerooteten Geräten ab. Durch das Rooten würden außerdem die Daten der Wallet-App gelöscht.
Experte Joshua Rubin hält dagegen. Er hat sein Angriffs-Szenario auf ungerootete Geräte übertragen. Eine längst bekannte Sicherheitslücke im Linux-Kernel von Android ermöglichte es ihm, die Root-Rechte ohne Datenverlust zu erhalten. Noch hat sich Google zu dieser Entdeckung nicht geäußert.
Swisscom
Neue Cyberbedrohungen auf dem Radar
Der neue Cyber Security Threat Radar von Swisscom zeigt die Angriffsmethoden und das Vorgehen von Cyberkriminellen. Er beleuchtet neu auch die Entwicklungen in den Bereichen "Disinformation & Destabilisation", "Manipulated Generative AI" und "Unsecure IoT/OT-Devices".
>>
Zum Welt-Passwort-Tag
"95 % der Cyber-Sicherheitsprobleme sind auf menschliche Fehler zurückzuführen"
Am 2. Mai ist Welt-Passwort-Tag. Ein guter Anlass für den Frühlingsputz bei alten Logins und ein grundsätzliches Überdenken der eigenen Cybersecurity. Miro Mitrovic von Proofpoint gibt dazu einige konkrete Tipps.
>>
Cyberbedrohungen überall
IT-Sicherheit unter der Lupe
Cybersecurity ist essentiell in der IT-Planung, doch Prioritätenkonflikte und die Vielfalt der Aufgaben limitieren oft die Umsetzung. Das größte Sicherheitsrisiko bleibt der Mensch.
>>
WebGPU
Sicherheitslücke in Browser-Schnittstelle erlaubt Rechnerzugriff via Grafikkarte
Forschende der TU Graz waren über die Browser-Schnittstelle WebGPU mit drei verschiedenen Seitenkanal-Angriffen auf Grafikkarten erfolgreich. Die Angriffe gingen schnell genug, um bei normalem Surfverhalten zu gelingen.
>>