'Google Wallet slaat veel gegevens onversleuteld op'

Beveiligingsonderzoekers hebben ontdekt dat Googles betaaldienst Wallet verscheidene gegevens onversleuteld opslaat. Dat geldt bijvoorbeeld voor de laatste vier cijfers van de creditcard. Ook transactiegegevens zijn niet versleuteld.

Volgens beveiligingsbedrijf Via Forensics zijn naast deze gegevens ook het resterende krediet op de betaalkaart, betaallimieten, de locaties waar Wallet is gebruikt en de naam onversleuteld opgeslagen op de telefoon. Daarnaast is het mogelijk om persoonlijke gegevens terug te halen nadat deze van de telefoon zijn gewist. Hiervoor heeft Google een recovery-feature ingebouwd.

De onderzoekers slaagden erin om de informatie te achterhalen, maar hiervoor gebruikten zij wel een Android-telefoon met roottoegang. Normaal gesproken zou er geen toegang zijn tot de gegevens, waardoor de impact beperkt blijft. Kwaadwillenden kunnen een gestolen of gevonden telefoon echter zelf rooten, om zo de informatie te achterhalen. Via Forensics slaagde er niet in om een man-in-the-middle-aanval uit te voeren.

Google liet aan Cnet weten dat de beveiliging van de betaaldienst in orde is, omdat geen toegang kan worden verkregen tot het volledige creditcardnummer. Wel heeft de internetgigant toegezegd de recovery-feature aan te passen, zodat data na een reset niet meer is terug te halen.

Wallet is een betaaldienst voor mobiele telefoons, die met de korteafstandstechnologie nfc werkt. Deze is momenteel alleen nog maar beschikbaar voor Android en werkt alleen in de Verenigde Staten. Het is mogelijk dat de dienst in andere landen wordt uitgerold, maar daarvoor moet Google afspraken maken met betalingsproviders. Ook is het noodzakelijk dat winkels de dienst gaan ondersteunen.

Screenshot Google Wallet

Door RoD

Forum Admin Mobile & FP PowerMod

Feedback • 13-12-2011 15:11 33

13-12-2011 • 15:11

33

Lees meer

Gerucht: Google gaat fysieke betaalkaarten aanbieden
Gerucht: Google gaat fysieke betaalkaarten aanbieden Nieuws van 2 november 2012
'My Vodafone-app iOS verstuurt logindata onversleuteld' - update 2
'My Vodafone-app iOS verstuurt logindata onversleuteld' - update 2 Nieuws van 4 april 2012
Google koopt betaaldienst TxVia om Wallet uit te breiden
Google koopt betaaldienst TxVia om Wallet uit te breiden Nieuws van 3 april 2012
'Google verplicht gebruik Wallet voor in-app-aankopen Android' - update
'Google verplicht gebruik Wallet voor in-app-aankopen Android' - update Nieuws van 9 maart 2012
Kwaadwillenden kunnen locatie toestel achterhalen door te bellen
Kwaadwillenden kunnen locatie toestel achterhalen door te bellen Nieuws van 18 februari 2012
Google brengt fix uit voor veiligheidsprobleem Wallet
Google brengt fix uit voor veiligheidsprobleem Wallet Nieuws van 15 februari 2012
Google blokkeert prepaid-kaarten na Wallet-hack
Google blokkeert prepaid-kaarten na Wallet-hack Nieuws van 12 februari 2012
Google betaalt gebruikers voor inzage internetgebruik - update
Google betaalt gebruikers voor inzage internetgebruik - update Nieuws van 10 februari 2012
Simpele truc geeft kwaadwillenden toegang tot Google Wallet
Simpele truc geeft kwaadwillenden toegang tot Google Wallet Nieuws van 10 februari 2012
Pincode Google Wallet is te achterhalen op toestel met root
Pincode Google Wallet is te achterhalen op toestel met root Nieuws van 9 februari 2012
Google biedt geen privacy-opt-out meer voor eigen diensten - update
Google biedt geen privacy-opt-out meer voor eigen diensten - update Nieuws van 25 januari 2012
Dynamic toont creditcards met display
Dynamic toont creditcards met display Nieuws van 13 januari 2012
MasterCard en Intel willen nfc gebruiken voor onlinebetalingen
MasterCard en Intel willen nfc gebruiken voor onlinebetalingen Nieuws van 14 november 2011
Google brengt betaaldienst Wallet uit in VS
Google brengt betaaldienst Wallet uit in VS Nieuws van 20 september 2011
PayPal: Android-app met nfc komt pas in 2012 naar Europa
PayPal: Android-app met nfc komt pas in 2012 naar Europa Nieuws van 22 augustus 2011
PayPal toont nfc-betaaldienst voor Android
PayPal toont nfc-betaaldienst voor Android Nieuws van 14 juli 2011
Mobiele betaaldienst Nederlandse providers begint medio 2012
Mobiele betaaldienst Nederlandse providers begint medio 2012 Nieuws van 30 juni 2011
Google start Groupon-concurrent Offers in VS
Google start Groupon-concurrent Offers in VS Nieuws van 1 juni 2011
PayPal en eBay klagen Google aan wegens Wallet
PayPal en eBay klagen Google aan wegens Wallet Nieuws van 27 mei 2011
Google kondigt nfc-betaaldienst Wallet aan
Google kondigt nfc-betaaldienst Wallet aan Nieuws van 26 mei 2011
Meer producten en artikelen
Privacy Mobiele besturingssystemen Smartphones Google Betalingsverkeer Beveiliging

Reacties (33)

-Moderatie-faq
33
32
22
1
0
3
Wijzig sortering
tnleeuw 13 december 2011 16:03
Het 'rooten' of jailbreaken van je telefoon is iets wat de gebruiker zelf doet, met een applicatie die daarvoor door die gebruiker wordt gedownload, geinstalleerd, uitgevoerd.

Fout.

Iedere malware die je op een of andere manier op de telefoon krijgt kan via een root-hack de root-toegang tot je telefoon krijgen, zonder dat je daar ook maar iets van ziet, en waarschijnlijk ook wel zonder dat de 'su' binary je vraagt of applicatie XYZ root toegang mag krijgen.

En die malware kan je soms zomaar via de Android Market binnenkrijgen.

Dus hackers hoeven niet eens jouw telefoon mee te nemen om jouw telefoon te rooten -- nee, het kan gewoon via een malware applicatie die je per ongeluk hebt gedownload via de Android Market, een 'alternatieve' market, van XDA of ergens anders...

Het niet-versleuteld opslaan van al deze gegevens op het device is dus best een groot probleem, naar mijn mening.

Betalen met je mobiel: naar mijn gevoel helemaal nog niet zo'n goed idee... Of dat nou via Google Wallet is of via iDEAL of via je mobiele internet banking applicatie.

(Het hele internet banking is trouwens een risico, met certificaten die vervalst zijn etc. Maar dat is weer een andere discussie).
fifarunnerr @tnleeuw13 december 2011 18:11
Fout.

Er zijn bijna geen manieren om zonder een PC een android-telefoon te rooten. Er is er 1, maar dat is gefixt vanaf versie 2.2.1(die al 1.5 jaar uit is). Bovendien werkte die niet op telefoons met extra beveiliging van de fabrikanten(zoals HTC's).

Alle andere malware gaat via een PC, waarvoor USB-debugging aan moet staan, iets wat normale gebruikers nooit hebben.

Dus het punt dat het daardoor onveilig is klopt niet. Het is veel eenvoudiger om via keyloggers op Windows het internetbankieren te onderscheppen dan via Android.

Bovendien staat er niet echt gevoelige data onbeveiligd opgeslagen. Het is niet zo dat hackers met die data ineens kunnen gaan betalen ofzo.

Al ben ik het met je eens dat internet banking een risico is, maar een Android-telefoon is wel veiliger dan een gemiddelde Windows pc.
gimbal 13 december 2011 15:14
Hm, positief wat ik hieruit lees is dat Google niet doet alsof het probleem niet bestaat, er word wel degelijk iets met de informatie gedaan. Zo heeft Cnet niet voor niets moeite hier in gestoken en kan Google de dienst verbeteren - meer kan ik niet verwachten eigenlijk.
Maarten21 @gimbal13 december 2011 15:43
Wat ik vooral niet snap is dat Google in de eerste instantie niet ongelooflijk veel moeite heeft gedaan om deze dienst zo veilig mogelijk te maken.

Stel jij bent een van de grootste leveranciers van mobiele-cloud-diensten, en je wil een mobiel betaalsysteem ontwikkelen, waarbij je weet dat zaken als security en privacy een van de belangrijkste uitdagingen is om een hoge acceptatie te krijgen van gebruikers, dan zorg je toch dat je desnoods een extra team inzet om te zorgen dat dit feilloos geregeld is??
Mellow Jack
@Maarten2113 december 2011 15:47
Is het niet gewoon ingericht volgens de richtlijnen van de maatschappijen? Het is logisch dat de laatste 4 cijfers toonbaar zijn want dat is eigenlijk altijd wel zo
cire @Maarten2113 december 2011 19:55
Tja, veiligheid staat vaak tegenover gebruikersgemak. Bijvoorbeeld bij de rabobank kun je op je mobiel (binnen bepaalde beperkingen) geld overmaken zonder random reader. Minder veilig, maar wel veel gebruiksvriendelijker.

Afgezien daarvan, de telefoon heeft geen magneetstrip. En dat is toch nog steeds het grootste lek in het gemiddelde betaalsysteem. Dus eigenlijk valt het nog wel mee met de onveiligheid ;)
ronaldmathies 13 december 2011 15:26
De onderzoekers slaagden erin om de informatie te achterhalen, maar hiervoor gebruikten zij wel een Android-telefoon met roottoegang. Normaal gesproken zou er geen toegang zijn tot de gegevens, waardoor de impact beperkt blijft.
Nu weet ik het niet hoor maar is het juist niet zo dat bij Android toestellen vaak wel root toegang mogelijk is? want hoe installeert iedereen anders die synagogen (hoe je dat ook schrijft) mod erop?

Leuk dat ze het trouwen gaan aanpassen maar hoe zit het met al die bestaande telefoons met android versies die niet meer ge-update worden vanuit de fabrikant? of zou dit opgelost kunnen worden via een update rechtsreeks? Dacht dat dat niet altijd mogelijk was vanwege wijzigingen door de fabrikanten?
Djerro123 @ronaldmathies13 december 2011 15:36
Ja klopt, het is relatief makkelijk om dat te doen, echter vervalt je garantie. De term is overigens Cyanogen Mod ;) Ik draai het hier zelf ook, op internet wordt er vaak gerefereerd naar CM7 of CM9 (in het geval van de nieuwste release, gebaseerd op de code van ICS)

Volgens mij is Wallet overigens een app, die worden via de Android Market geupdate. Moet je overigens nog wel steeds zelf toestemming voor geven, tenzij je de app heb ingesteld op automatisch updaten.

Lijkt mij dat veel mensen dat niet doen, veel gebruikers hiervan zijn volgens mij woonachtig in de USA, waar ze geen onbeperkt dataplan kennen. Mensen updaten dus liever handmatig op het moment dat ze op een WIFI-netwerk zitten.
ronaldmathies @Djerro12313 december 2011 16:03
Bedoelde overigens niet dat het alleen via over-the-air ge-update kon worden. Doelde meer op een kleine fix die los van de implementaties van de fabrikanten verstuurd kon worden. Maar dat haal ik niet uit het bericht.
fifarunnerr @ronaldmathies13 december 2011 18:43
Deze applicatie staat gewoon in de market dus wordt ook via de market geupdate. Maar buiten dat, Wallet is alleen beschikbaar in de USA en op dit moment alleen voor de Nexus S 4G van Sprint.
ronaldmathies @fifarunnerr13 december 2011 20:09
Ah kijk, dat verduidelijkt een boel.. dacht dat het een integraal onderdeel was van Android voor het kopen van Android Apps.
SiC123 @ronaldmathies13 december 2011 18:00
Syanagogen mod is voor als je joods bent en het dichtsbijzijnde geloofshuis wilt vinden ;)
Djerro123 13 december 2011 15:16
Lijkt mij dat dit best ernstig is. Met alle onversleutelde informatie kan men toch gemakkelijk iemand immiteren zo te zien: alle persoonlijke gegevens +laatst gekochte items geeft een aardig betrouwbaar beeld van de klant die je aan de telefoon krijgt. Je zou bijvoorbeeld bij dezelfde winkel nog een product kunnen kopen en zeggen: doe maar dezelfde creditcard gegevens als de vorige keer, heb de kaart nu niet bij me.

Beetje domme verkoper die dit toe laat (mag volgens mij niet) maar in principe is dit niet erg netjes, of zie ik het verkeerd?
Morax @Djerro12313 december 2011 15:21
Je ziet het in die zin verkeerd, dat je geen telefonische aankopen kan doen met een credit card. Dat verloopt ofwel on-line en ge-automatiseerd, in welk geval je het gehele nummer + controlegeval + eventuele 3D-secure procedure moet doorlopen. Anderzijds dien je bij een aankoop in een winkel een pincode (niet altijd) in te voeren en een handtekening te zetten.

Je zou dus NOOIT een telefonische betaling moeten kunnen verrichten met je creditcard!
cire @Morax13 december 2011 19:45
Telefonische betalingen met creditcard kan prima. Dat wordt Card Not Present transacties genoemd. Daar valt Internet onder, maar ook telefoon. Een andere aanduiding is MOTO (Mail Order Telephone Order).

Je geeft je kaartnummer, verloopdatum, naam en de code op de achterkant van de pas (CVV2 / CVC2).
SiC123 @Morax13 december 2011 17:59
zeg dat maar tegen tel-sell of hoe die toko ook heet tegenwoordig.
Dreamvoid
13 december 2011 15:26
Dat blijft een probleem met een root/jailbreak-baar OS, als het in verkeerde handen valt is alles op de telefoon bereikbaar ook zonder dat de dief het user/password heeft. Dit is best een serieus probleem, en als 'bezorgde gebruiker' heb je niet veel keus - van de mainstream mobile OSsen is alleen Blackberry OS nog niet rootbaar.

[Reactie gewijzigd door Dreamvoid op 24 juli 2024 03:00]

pegagus @Dreamvoid13 december 2011 15:34
Als je je portemonnee verliest, hoeft men nog minder moeite te doen om de credit kaart te misbruiken.

Het kan beter, maar men moet niet overdrijven.
ronaldmathies @pegagus13 december 2011 15:37
Met dat ene verschil dat iemand in Roemenie niet op afstand of via een applicatie de gegevens uit mijn portemonnee weet te vissen...
sab @ronaldmathies13 december 2011 16:59
Knappe Roemeen die op een paar duizend kilometer afstand mijn telefoon weet te rooten.
ronaldmathies @sab13 december 2011 17:04
Zoals hierboven al aangegeven... veel telefoons hebben standaard al root access..
Dreamvoid
@sab13 december 2011 17:13
Lees: ze hebben standaard een lek aan boord waardoor root access mogelijk is.
fifarunnerr @Dreamvoid13 december 2011 18:04
Ook dat klinkt een stuk anders dan de werkelijkheid. Bijna alle Android-telefoons kan je inderdaad rooten, maar deze manieren om de telefoon te rooten is eigenlijk altijd wel via een kabeltje aan een PC.
Bovendien draait Google Wallet alleen op een Nexus S(en misschien Galaxy Nexus tegenwoordig ook), en daar is root-toegang alleen mogelijk via een pc.

Ik zie je probleem dus niet, zelfs geroote gebruikers moeten toegang geven tot een applicatie om het te kunnen lezen en dan nog is er niet echt gevoelige info beschikbaar.
Dreamvoid
@fifarunnerr13 december 2011 18:41
Telefoon jatten, kabeltje eraan, rooten en voila: ondanks dat je als dief het password van de gebruiker niet hebt, kan je toch bij alle data (ook die data die root-rechten vereist!).
Vexxon @pegagus13 december 2011 15:41
Google biedt een dienst aan om jouw portemonnee te beheren, dan wordt verwacht dat een beetje veilig is.
sab 13 december 2011 17:02
Kwaadwillenden kunnen een gestolen of gevonden telefoon echter zelf rooten, om zo de informatie te achterhalen.
Ik kan mij vergissen, maar toen ik mijn telefoon rootte om er een andere ROM opzette, was ik all mijn apps en data kwijt.
Kan je androidtelefoons wel rooten zonder gegevensverlies, anybody?
Dreamvoid
@sab13 december 2011 17:14
Als je eerst de telefoon root en er vervolgens geen andere ROM op zet maar in de bestaande ROM gaat rondbanjeren, dan wel ja.
tinus73 13 december 2011 19:32
Ik vond het maar een onveilig gebeuren dat Wallet. Met enkel je e-mail wachtwoord kunnen ze je rekening leeghalen. Ik heb er maar voor bedankt. Wellicht is het nu verbeterd.
cire 13 december 2011 19:50
Voor zover ik kan zien, valt het met de onveiligheid nog wel mee. De echte pasgegevens zijn niet opgeslagen in de Wallet, maar in een zogenaamd Embedded Secure Element. Dat is een chip die je kunt vergelijken met de chip op je bankpas.

Er staan geen aanwijzingen in dit artikel dat de cruciale gegevens om echt een betaling te doen, ook in de Wallet zijn opgeslagen.
Ves 13 december 2011 19:07
Misschien een van de redenen waarom Google Wallet niet beschikbaar was met de release van de Galaxy Nexus.
doom71 14 december 2011 07:59
Het risico voor de gebruiker lijkt mij niet erg groot. Wat me wel tegenvalt is dat Google gegevvens onversleuteld opslaat. Nog niet zolang geleden kwamen er soortgelijke berichten in omloop over het onversleuteld opslaan van locatiegegevens http://tweakers.net/nieuw...elen-locatiediensten.html. Nee, ik wil apple niet bashen, het gebeurde ook op android. Na de reacties op deze berichten zou je verwachten dat ze iets zorgvuldiger met het onversleuteld opslaan omgaan.
Dreeke fixed @doom7114 december 2011 08:55
Mij lijkt het wel een probleem, zolang de wallet door google wordt geupdate kan het een verminderd probleem worden. Maar de gaten in Android blijven, deze worden wel door google verholpen maar niet doorgevoerd door de makers van de telefoons. Er worden alleen maar meer gaten in Andriod gevonden en niet opgelost en dit alleen is voor mij een gegeven om geen betalingen te doen via een Android telefoon.

Als je via wifi een netwerk scan doet en je vind andriod telefoons (weet ff niet welke services standaard aan staan bij android) kan je deze lekker hacken en de wallet copieren en cracken lijkt mij.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq