Forensiker erforschen Google Wallet
Eine erste Sicherheitsanalyse von Googles NFC-Bezahlsoftware Wallet scheitert zwar mit Man-in-the-Middle-Attacks, findet aber unverschlüsselte persönliche Daten auf dem Smartphone.
- Christian Kirsch
Mit "Wallet" stellt Google für seine Android-Plattform eine Software zum Bezahlen mit der Nahfunktechnik NFC bereit. Nutzer speichern ihre Kreditkartendaten auf dem Smartphone und können dann mit dem Gerät durch Berühren eines Bezahlterminals und Eingabe einer PIN bezahlen.
In einem Blog-Beitrag beschreibt die US-Firma viaForensics ihre Untersuchung von Wallet unter Sicherheitsaspekten. Die Ergebnisse seien jedoch nicht vollständig, denn die Untersuchung "kommt nicht entfernt an das Niveau heran, das eine App wie diese verdient".
Man-in-the-Middle-Angriffe via WLAN scheiterten sowohl beim Anlegen eines neuen Wallet-Accounts als auch beim Eintragen einer Kreditkarte für einen vorhandenen Account. Laut viaForensics liegt das daran, dass die Software die SSL-Zertifikate der Gegenseite prüfe und bei falschen Zertifikaten die Zusammenarbeit verweigere.
Fündig wurden die Forensiker im Dateisystem des Smartphones, allerdings nur in Bereichen, für die Root-Rechte erforderlich sind. Dort lokalisierten sie mehrere Datenbanken, in denen unter anderem Saldo, Limit, Ablaufdaten und der Name auf der Kreditkarte zu finden waren. Außerdem ließen sich die Termine und Orte der NFC-Zahlung ermitteln. Von der Kartennummer ließen sich jedoch nur die letzten vier Ziffern ermitteln.
Außerdem stellten sie fest, dass Wallet zahlreiche Daten an Google Analytics überträgt und zahlreiche Einträge in den System-Logs erzeugt. So führte die Man-in-the-Middle-Attacke zu einem Stack-Trace, der in den Log-Dateien erschien. Das sei bei einer produktiv eingesetzten App "nicht die beste Idee, da man Angreifern dadurch Informationen zur Verbesserung ihrer Technik geben kann", heißt es im Blog dazu.
Zu einer kompletten Sicherheitsbewertung gehörten weitere Untersuchungen. viaForensics nennt unter anderem die NFC-Implementierung und die Entschlüsselung des Datenaustauschs. Auch eine Attacke auf das "Sicherheitselement" gehöre dazu. Es enthält ähnlich wie der Chip der Kreditkarte besonders sensible Daten, die durch die PIN geschützt sind. (ck)
