Studie: Google Wallet sammelt zu viele ungeschützte Daten

Die Marktanalysten von ViaForensics haben Google Wallet im Praxistest untersucht und festgestellt, dass die Software sensible Daten der Zahlkarte nicht verschlüsselt, ob Kartennummer, Buchungsbeträge, Kreditlimit, Ablaufdatum oder die jeweilige Transaktion. Die unverschlüsselten Daten landen in einer SQLite-Datenbank und warten offenbar nur darauf, von Cyberdieben mit entsprechender krimineller Energie abgegriffen zu werden.

Der forensische Bericht plaudert weiter aus, dass Google Wallet auch noch ein Image von der Kreditkarte seines Nutzers anfertigt. Auch jenes sei angreifbar. Zwischen dem Cyberkriminellen und dem Geld des Kunden würde also nur noch die PIN-Nummer stehen, die für jede Zahlung als Autorisierung nötig sei.

Die Analysten kritisierten weiter, dass selbst nach gelöschten Transaktionen oder einem Wallet-Reset die Kreditkartendaten nach wie vor von Eindringlingen oder Gerätedieben abgreifbar seien. Ein Wallet-Gerät zu verkaufen, an die Firma zurückzugeben oder wegzuwerfen könnte sich als dummer Fehler erweisen.

Dem ViaForensics-Team sei es gelungen, einen klassischen Man-in-the-middle-Angriff über ein  WiFi-Netz zu realisieren und dabei an die Daten der Kreditkarte zu gelangen, während Google Wallet den Vorgang ablehnte. Ein Repräsentant von Google reagierte direkt auf die Erkenntnisse von ViaForensics und versprach, dass die Firma demnächst entsprechende Änderungen an der Wallet-Software vornehmen werde, damit gelöschte Daten später nicht mehr herstellbar seien und um zu verhindern, dass auf verseuchten Geräten die Karteninfos gestohlen werden können.