Google Wallet lekt gevoelige data
Google Wallet houdt je kredietkaartnummers dan wel veilig bij, maar je persoonlijke informatie ligt mogelijk zomaar voor het grijpen. Tot die vaststelling komt beveiligingsbureau ViaForensics.
Met een Nexus S 4G die werd geroot ontdekte de firma dat de applicatie onversleutelde databasebestanden wegschrijft. De bestanden bevatten transactiedetails, net als details over de kredietkaarten: rekeningsaldi, kredietlimieten, vervaldata en de laatste vier cijfers van de kaartnummers.
“Veel gebruikers zouden het niet waarderen als mensen hun kredietkaartsalso of -limiet weten”, schrijft het bedrijf in het rapport. “Verder is het mogelijk deze data te gebruiken in een social engineering-aanval [misleiding] tegen de consument.”
[related_article id=”158901″]
Nog meer zwakke plekken
Twee andere zwakke plekken werden ook ontdekt: er waren afbeeldingen met gedeeltelijke kredietkaartinformatie aanwezig in het bestandssysteem, en bij het verwijderen van een kredietkaart in Google Wallet bleef de transactiegeschiedenis bewaard. Beide problemen werden gelukkig wel opgelost met een software-update.
Hoewel deze kwetsbaarheden zorgwekkend klinken, moet het wel gezegd dat ze alleen gelden op toestellen met roottoegang – wanneer een gebruiker dus volledige toegang heeft tot het besturingssysteem en onderliggende bestanden van zijn smartphone.
Google verdedigt zijn implementatie in een verklaring. Het zegt dat het rapport zich concentreert op toestellen met roottoegang. “Maar zelfs in dat geval beveiligt het systeem de betalingsinstrumenten, inclusief kredietkaart- en CVV-nummers. Android beschermt actief tegen malafide programma’s die roottoegang proberen te verkrijgen zonder medeweten van de gebruiker.”
Hoewel dat correct is, is het duidelijk makkelijk om een gestolen smartphone te kraken en alle informatie erop te verzamelen. Maar de verspreiding van Google Wallet gaat met een slakkengangetje – de Nexus S 4G is de enige smartphone die de functie officieel ondersteunt – dus Google heeft nog tijd genoeg om de bevindingen van ViaForensics aan te pakken.