Google heeft net een aangepaste Nexus S gedemonstreerd met zijn betaaldienst Wallet. Die nieuwe variant van de door Samsung gemaakte smartphone heeft een zogenoemde NFC chip (near field communication), die draadloos contact kan maken met de betaalterminal van een winkel. Betalen doe je door op je smartphone een pincode in te voeren, zoals je dat ook zou doen bij een standaard betaalterminal.

Momentum

De Google Wallet werkt op dit moment alleen in de Verenigde Staten met een creditcard van Citi Mastercard of met virtuele prepaidtegoeden van Google. De verwachting is dat andere partijen zullen volgen en dat het systeem wereldwijd wordt aangeboden. Ook andere partijen zoals Apple zijn namelijk al enige tijd geïnteresseerd in draadloos betalen met de smartphone.

Sommige experts trekken de veiligheid van Google Wallet echter in twijfel. Zo ook security-onderzoeker Jimmy Shah van McAfee Labs. Hij waarschuwt voor onderschepping van de betaalgegevens. Google stelt dat de betaling veilig is omdat de belangrijkste gegevens bewaard worden op een aparte NFC-chip, in dit geval de PN65 van het Nederlandse bedrijf NXP. Daardoor kan sterke encryptie worden aangeboden.

Bescherming

Bovendien wordt de chip uitgeschakeld als ermee gerommeld wordt. Dat gebeurt ook als er te vaak een verkeerde pincode wordt ingevoerd. Alleen met behulp van de bank kan de chip weer in werking worden gesteld.

Google heeft ervoor gezorgd dat het secure elemant in de NFC-chip alleen mag worden aangeroepen door de eigen app. De mobiele betaalfunctie voor Android is dus niet toegankelijk voor apps van derden.

App als zwakke schakel

Volgens Shah is het mogelijk om de gegevens voor betalingen te onderscheppen. Volgens Sjah zijn Android-apps met behulp van reverse engineering over het algemeen makkelijk na te maken.

Als de werking daarvan eenmaal duidelijk is, valt er een app te maken die de Google Wallet-app stiekem emuleert. Kwaadwillenden kunnen dan een spelletje maken dat aan de voorkant volstrekt onschuldig lijkt, maar dat aan de achterkant gegevens onttrekt aan de NFC-chip. Android-gebruikers hoeven hierbij alleen maar verleidt te worden om het spelletje te installeren.

Malafide apps

De verspreiding van dit soort apps is ook nog eens makkelijker dan bij iOS, het mobiele besturingssysteem van Apple. De officiële apps voor bijvoorbeeld iPhone mogen alleen via Apple's eigen app store geïnstalleerd worden. Steve Chang, oprichter van beveiligingsbedrijf Trend Micro, heeft al eerder op dit gevaar gewezen.

Het scenario zoals Shah schetst wordt overigens door Google stellig tegengesproken. Een app van derden heeft volgens Google geen toegang tot de data en zelfs al die beperkt toegang zou verkrijgen, kan zo’n app niet zomaar gegevens uitlezen.

Security by obscurity?

Google maakt niet bekend hoe het uitlezen van de gevoelige data door andere apps dan de echte Wallet wordt voorkomen. Chipfabrikant NXP zegt het geheel niet te weten. “Hoe voorzien is in de beveiliging van de apps en de telefoon zelf is iets waar NXP geen kennis van heeft”, antwoordt het Nederlandse chipbedrijf op vragen van Webwereld.