Gleich zwei Sicherheitslücken sind in den letzten Tagen bei Google Wallet aufgetaucht. Beide beziehen sich auf die PIN-Eingabe von Wallet und können diese aushebeln. Zum einen handelt es sich um eine Android-App die den aktuellen PIN auslesen kann, bei der anderen Sicherheitslücke kann der PIN sogar neu überschrieben werden.
PIN auslesen
Der Login-PIN für Wallet ist zwar nicht im Klartext auf dem Android-Gerät gespeichert, kann aber dennoch mit Hilfe einer App einfach ausgelesen werden. Alles was es dafür braucht ist ein gerootetes Smartphone (womit diese Lücke schonmal keine großen Kreise ziehen wird) und die entsprechende App. Diese findet durch Brute-Force (also schlichtes austesten der 10.000 möglichen Kombinationen) den PIN heraus und zeigt ihn an.
Google ist über diese Möglichkeit bereits informiert und arbeitet derzeit daran die Lücke zu stopfen. Bis die Lücke gestopft ist, empfiehlt Google einen sicheren Lock-Screen und bietet eine kostenfreie Nummer zum deaktivieren der Google Prepaid-Karte an.
PIN ändern
Viel gefährlicher, und weitaus simpler, ist da schon die Methode den PIN einfach zu ändern. Dazu muss man lediglich über die Android-Einstellungen die User-Daten von Wallet löschen. Startet man die App dann erneut, beginnt der Einrichtungsprozess von vorne und es kann eine neue PIN eingegeben werden – die Verbindung mit dem vorher verwendeten Google-Account funktioniert automatisch, ohne dass nach einem Passwort gefragt wird.
Laut dem Video ist das Prepaid-Konto von Google Wallet nicht an einen Google-Account sondern an das Smartphone gebunden, so dass bei einem Gerätewechsel der Anbieter kontaktiert werden muss. Durch dieses System wird diese Sicherheitslücke erst möglich, denkbar also dass Google dies ändern wird.
Der Europa-Start von Wallet steht zwar noch in den Sternen, aber hoffen wir mal dass Google bis dahin alle Sicherheitslücken geschlossen hat.