Gapend gat in Google Wallet
Gepubliceerd: Vrijdag 10 februari 2012
Auteur: Andreas Udo de Haes
Iemand die een smartphone vindt of steelt, kan ook de Google Wallet-rekening plunderen via een simpele reset van de pincode. Google haast zich met een update voor het lek.
Er zit een gênant lek in het mobiele betaalsysteem Google Wallet. Een kwaadwillende die een smartphone met Google Wallet erop bemachtigt, kan op triviale wijze de tegoeden die op het account staan plunderen. Door de eerder opgeslagen data van de Wallet-app te wissen, verkrijgt men eenvoudig toegang tot het account en de tegoeden, ontdekte The Smartphone Champ.
Half gewist
Het systeem vraagt namelijk na het wissen simpelweg om een nieuwe pincode, naar eigen believen in te voeren. De accountgegevens van het slachtoffer zijn echter niet gewist, want die zijn opgeslagen in het secure element van de telefoon. Dus zodra de dief een nieuwe pincode genereert, verkrijgt die daarmee toegang tot het bestaande account van de eigenaar van de telefoon.
Eerder deze week kwam al een andere hack van Google Wallet aan het licht. Op een apparaat met root-toegang zou het mogelijk zijn de pincode te achterhalen. Maar het nieuw ontdekt gat maakt dat geheel overbodig.
Patch
Google komt zo snel mogelijk met een update en waarschuwt gebruikers die hun smartphone met Google Wallet kwijt zijn onmiddellijk een speciaal nummer te bellen, zodat het account wordt geblokkeerd. Google introduceerde Wallet in mei vorig jaar. Het betaalsysteem is vooralsnog alleen in de VS beschikbaar op een paar recente Android-toestellen.
Demonstratie van lek in Google Wallet
