Android & Google Wallet: Sicherheitslücke ermöglicht NFC-Auslesen und Bezahlen trotz Displaysperre (Video)
Viele Android-Nutzer dürften Google Wallet für das mobile Bezahlen verwenden und sich darauf verlassen, dass es nicht nur bequem, sondern auch sicher ist. Grundsätzlich ist das der Fall, doch jetzt wurde eine kleine Sicherheitslücke entdeckt, die zwar in der Theorie gefährlich sein kann, aber in der Praxis kaum für Probleme sorgen dürfte. Die Lücke ermöglicht es, trotz Displaysperre mit dem Smartphone zu bezahlen.
In den NFC-Einstellungen von Android lässt sich festlegen, dass die Nutzung nur bei entsperrtem Gerät möglich sein soll – was die Standardeinstellung ist. Das bedeutet, dass das Smartphone etwa zur NFC-Zahlung per Google Wallet / Pay entsperrt sein muss. Aktuell ist das allerdings nicht der Fall, denn es wurde eine Sicherheitslücke entdeckt, bei der dieser Schutz ausgehebelt wird: Sobald eine beliebige App unter Android angepinnt wird, ist die NFC-Zahlung auch ohne Entsperrung nutzbar.
Im obigen Video ist das Szenario zu sehen. Prinzipiell wäre jeder Nutzer betroffen, der Apps anpinnt. Allerdings muss man auch dazu sagen, dass eine versehentliche Zahlung bei entsperrtem Display wohl eher eine theoretische Sache ist und in der Praxis so gut wie gar nicht vorkommen dürfte. Von einem Angriffsszenario kann man auch nicht sprechen, da der Angreifer dazu wissen müsste, dass eine App angepinnt und somit die Tür offen ist.
Google hat das Problem mit dem September-Sicherheitsupdate behoben, allerdings wurde dies bisher nicht einmal für die Pixel-Smartphones ausgerollt.
» Pixel Watch: Jüngstes App-Update sorgt für Probleme – Benachrichtigungseinstellungen gehen verloren
Letzte Aktualisierung am 2024-11-22 / Bilder von der Amazon Product Advertising API / Affiliate Links, vielen Dank für eure Unterstützung!
GoogleWatchBlog bei Google News abonnieren | GoogleWatchBlog-Newsletter
Die NFC-Zahlung war doch bis 25/50€ seit jeher ohne Entsperrung möglich.
Dass man das überhaupt abstellen kann, geht erst seit Kurzem und afaik auch nur auf Pixel Geräten.
Wo ist hier jetzt also die Sicherheitslücke?
Wie lange sich das schon abschalten lässt, macht für den Status Quo ja keinen Unterschied.
Man kann es jetzt abstellen und dennoch lässt es sich verwenden – das ist dann die Lücke.
Schön wäre es wenn Samsung diese Option endlich mal anbietet, also das NFC für Glas nur bei entsperrtem Display geht.
Lieder gibt es diese Option in den NFC settings nicht. daher schalte ich nfc immer ganz aus, da sonst ggf. Kontaktlos bis zu 50€ ein paar Mal gezahlt werden kann. Display muss nur aktiv aber nicht entsperrt sein.
Ich würde mir wünschen, dass man die Wallet-App einfach ausschalten kann. Dann wäre sie nicht im Hintergrund aktiv und es gäbe kein Problem. Bei Bedarf (wenn ich shoppen gehe) kann ich das ja mit einem Handgriff aktivieren (wie die Taschenlampe oder Bluetooth etc.)