Blog-Bericht: PIN-Sperre bei Google Wallet nutzlos

Durch Schwachstellen in Googles Bezahl-App Wallet kann ein Angreifer die PIN-Abfrage umgehen und Zahlungen durchführen – dazu muss er allerdings direkten Zugriff auf das Handy haben.

Lesezeit: 1 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 42 Beiträge
Update
Von

Die PIN-Sperre von Googles Bezahlsystem Wallet lässt sich mit einem einfachen Trick umgehen, wie das Blog The Smartphone Champ berichtet. Im Mittelpunkt von Google Wallet steht eine Android-App, mit der man sowohl online als auch im Ladengeschäft bezahlen kann, vergleichbar mit einer Kreditkarte; bislang allerdings nur in den USA.

Wer Zugriff auf ein entsperrtes Handy hat, muss nach dem Start der App normalerweise eine vierstellige PIN eingeben, um auf das Konto zugreifen und Zahlungen durchführen zu können. Dies dient als zusätzliche Schutzmaßnahme, falls das Handy in die falschen Hände geraten sollte.

Das Zurücksetzen der Wallet-PIN ist trivial.

Laut dem Blog lässt sich dieser Schutz jedoch aushebeln, indem man die App über die Systemeinstellungen zurücksetzt, also alle von der App angelegten Dateien löscht. Beim nächsten Start beginne der Einrichtungsprozess erneut und man dürfe eine neue PIN festlegen. Google identifiziere das Handy automatisch und ordne es dem Wallet-Account des Besitzers zu.

Unklar ist, ob der Blogger das Problem bereits an Google gemeldet hat. Eine Lösung sei bislang nicht in Sicht. Schutz biete nur, eine Zugriffssperre auf das gesamte Gerät zu setzen. Kurz zuvor hatte ein Sicherheitsforscher bereits entdeckt, dass man die Wallet-PIN bei Smartphones auslesen kann, die man für die Ausführung von unsigniertem Code freigeschaltet ("gerootet") hat. Google hat daraufhin davon abgeraten, Google Wallet auf gerooteten Geräten zu installieren. Laut Google ist es derzeit nicht möglich, ein gesperrtes Gerät zu "rooten" und anschließend die PIN zu erhalten.

Update vom 11. Februar: Nach dem Zurücksetzen der App ist lediglich der Zugriff auf die fest mit dem Gerät verbundene Wallet-Kreditkarte (Prepaid) möglich, weitere hinterlegte Kreditkarten sind nicht betroffen.

Wie ein Leser angemerkt hat, ist das Problem mindestens seit Ende vergangenen Jahres bekannt. Gegenüber dem Onlinemagazin The Verge gab Google bekannt, dass sich Wallet-Kunden an eine Hotline wenden können, wenn sie die Bindung zwischen der Wallet-Kreditkarte und Smartphone lösen wollen; etwa, wenn man das Gerät verkaufen möchte oder es gestohlen wurde.

Problematischer scheint das Wiederherstellen der PIN ohne App-Reset zu sein: Anscheinend ist in diesem Fall auch der Zugriff auf andere hinterlegte Karten möglich. Wie oben beschrieben betrifft dies jedoch nur gerootete Geräte. (rei)