Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 33 reacties

Beveiligingsonderzoekers hebben ontdekt dat Googles betaaldienst Wallet verscheidene gegevens onversleuteld opslaat. Dat geldt bijvoorbeeld voor de laatste vier cijfers van de creditcard. Ook transactiegegevens zijn niet versleuteld.

Volgens beveiligingsbedrijf Via Forensics zijn naast deze gegevens ook het resterende krediet op de betaalkaart, betaallimieten, de locaties waar Wallet is gebruikt en de naam onversleuteld opgeslagen op de telefoon. Daarnaast is het mogelijk om persoonlijke gegevens terug te halen nadat deze van de telefoon zijn gewist. Hiervoor heeft Google een recovery-feature ingebouwd.

De onderzoekers slaagden erin om de informatie te achterhalen, maar hiervoor gebruikten zij wel een Android-telefoon met roottoegang. Normaal gesproken zou er geen toegang zijn tot de gegevens, waardoor de impact beperkt blijft. Kwaadwillenden kunnen een gestolen of gevonden telefoon echter zelf rooten, om zo de informatie te achterhalen. Via Forensics slaagde er niet in om een man-in-the-middle-aanval uit te voeren.

Google liet aan Cnet weten dat de beveiliging van de betaaldienst in orde is, omdat geen toegang kan worden verkregen tot het volledige creditcardnummer. Wel heeft de internetgigant toegezegd de recovery-feature aan te passen, zodat data na een reset niet meer is terug te halen.

Wallet is een betaaldienst voor mobiele telefoons, die met de korteafstandstechnologie nfc werkt. Deze is momenteel alleen nog maar beschikbaar voor Android en werkt alleen in de Verenigde Staten. Het is mogelijk dat de dienst in andere landen wordt uitgerold, maar daarvoor moet Google afspraken maken met betalingsproviders. Ook is het noodzakelijk dat winkels de dienst gaan ondersteunen.

Screenshot Google Wallet
Moderatie-faq Wijzig weergave

Reacties (33)

Het 'rooten' of jailbreaken van je telefoon is iets wat de gebruiker zelf doet, met een applicatie die daarvoor door die gebruiker wordt gedownload, geinstalleerd, uitgevoerd.

Fout.

Iedere malware die je op een of andere manier op de telefoon krijgt kan via een root-hack de root-toegang tot je telefoon krijgen, zonder dat je daar ook maar iets van ziet, en waarschijnlijk ook wel zonder dat de 'su' binary je vraagt of applicatie XYZ root toegang mag krijgen.

En die malware kan je soms zomaar via de Android Market binnenkrijgen.

Dus hackers hoeven niet eens jouw telefoon mee te nemen om jouw telefoon te rooten -- nee, het kan gewoon via een malware applicatie die je per ongeluk hebt gedownload via de Android Market, een 'alternatieve' market, van XDA of ergens anders...

Het niet-versleuteld opslaan van al deze gegevens op het device is dus best een groot probleem, naar mijn mening.

Betalen met je mobiel: naar mijn gevoel helemaal nog niet zo'n goed idee... Of dat nou via Google Wallet is of via iDEAL of via je mobiele internet banking applicatie.

(Het hele internet banking is trouwens een risico, met certificaten die vervalst zijn etc. Maar dat is weer een andere discussie).
Fout.

Er zijn bijna geen manieren om zonder een PC een android-telefoon te rooten. Er is er 1, maar dat is gefixt vanaf versie 2.2.1(die al 1.5 jaar uit is). Bovendien werkte die niet op telefoons met extra beveiliging van de fabrikanten(zoals HTC's).

Alle andere malware gaat via een PC, waarvoor USB-debugging aan moet staan, iets wat normale gebruikers nooit hebben.

Dus het punt dat het daardoor onveilig is klopt niet. Het is veel eenvoudiger om via keyloggers op Windows het internetbankieren te onderscheppen dan via Android.

Bovendien staat er niet echt gevoelige data onbeveiligd opgeslagen. Het is niet zo dat hackers met die data ineens kunnen gaan betalen ofzo.

Al ben ik het met je eens dat internet banking een risico is, maar een Android-telefoon is wel veiliger dan een gemiddelde Windows pc.
Hm, positief wat ik hieruit lees is dat Google niet doet alsof het probleem niet bestaat, er word wel degelijk iets met de informatie gedaan. Zo heeft Cnet niet voor niets moeite hier in gestoken en kan Google de dienst verbeteren - meer kan ik niet verwachten eigenlijk.
Wat ik vooral niet snap is dat Google in de eerste instantie niet ongelooflijk veel moeite heeft gedaan om deze dienst zo veilig mogelijk te maken.

Stel jij bent een van de grootste leveranciers van mobiele-cloud-diensten, en je wil een mobiel betaalsysteem ontwikkelen, waarbij je weet dat zaken als security en privacy een van de belangrijkste uitdagingen is om een hoge acceptatie te krijgen van gebruikers, dan zorg je toch dat je desnoods een extra team inzet om te zorgen dat dit feilloos geregeld is??
Is het niet gewoon ingericht volgens de richtlijnen van de maatschappijen? Het is logisch dat de laatste 4 cijfers toonbaar zijn want dat is eigenlijk altijd wel zo
Tja, veiligheid staat vaak tegenover gebruikersgemak. Bijvoorbeeld bij de rabobank kun je op je mobiel (binnen bepaalde beperkingen) geld overmaken zonder random reader. Minder veilig, maar wel veel gebruiksvriendelijker.

Afgezien daarvan, de telefoon heeft geen magneetstrip. En dat is toch nog steeds het grootste lek in het gemiddelde betaalsysteem. Dus eigenlijk valt het nog wel mee met de onveiligheid ;)
De onderzoekers slaagden erin om de informatie te achterhalen, maar hiervoor gebruikten zij wel een Android-telefoon met roottoegang. Normaal gesproken zou er geen toegang zijn tot de gegevens, waardoor de impact beperkt blijft.
Nu weet ik het niet hoor maar is het juist niet zo dat bij Android toestellen vaak wel root toegang mogelijk is? want hoe installeert iedereen anders die synagogen (hoe je dat ook schrijft) mod erop?

Leuk dat ze het trouwen gaan aanpassen maar hoe zit het met al die bestaande telefoons met android versies die niet meer ge-update worden vanuit de fabrikant? of zou dit opgelost kunnen worden via een update rechtsreeks? Dacht dat dat niet altijd mogelijk was vanwege wijzigingen door de fabrikanten?
Ja klopt, het is relatief makkelijk om dat te doen, echter vervalt je garantie. De term is overigens Cyanogen Mod ;) Ik draai het hier zelf ook, op internet wordt er vaak gerefereerd naar CM7 of CM9 (in het geval van de nieuwste release, gebaseerd op de code van ICS)

Volgens mij is Wallet overigens een app, die worden via de Android Market geupdate. Moet je overigens nog wel steeds zelf toestemming voor geven, tenzij je de app heb ingesteld op automatisch updaten.

Lijkt mij dat veel mensen dat niet doen, veel gebruikers hiervan zijn volgens mij woonachtig in de USA, waar ze geen onbeperkt dataplan kennen. Mensen updaten dus liever handmatig op het moment dat ze op een WIFI-netwerk zitten.
Bedoelde overigens niet dat het alleen via over-the-air ge-update kon worden. Doelde meer op een kleine fix die los van de implementaties van de fabrikanten verstuurd kon worden. Maar dat haal ik niet uit het bericht.
Deze applicatie staat gewoon in de market dus wordt ook via de market geupdate. Maar buiten dat, Wallet is alleen beschikbaar in de USA en op dit moment alleen voor de Nexus S 4G van Sprint.
Ah kijk, dat verduidelijkt een boel.. dacht dat het een integraal onderdeel was van Android voor het kopen van Android Apps.
Syanagogen mod is voor als je joods bent en het dichtsbijzijnde geloofshuis wilt vinden ;)
Lijkt mij dat dit best ernstig is. Met alle onversleutelde informatie kan men toch gemakkelijk iemand immiteren zo te zien: alle persoonlijke gegevens +laatst gekochte items geeft een aardig betrouwbaar beeld van de klant die je aan de telefoon krijgt. Je zou bijvoorbeeld bij dezelfde winkel nog een product kunnen kopen en zeggen: doe maar dezelfde creditcard gegevens als de vorige keer, heb de kaart nu niet bij me.

Beetje domme verkoper die dit toe laat (mag volgens mij niet) maar in principe is dit niet erg netjes, of zie ik het verkeerd?
Je ziet het in die zin verkeerd, dat je geen telefonische aankopen kan doen met een credit card. Dat verloopt ofwel on-line en ge-automatiseerd, in welk geval je het gehele nummer + controlegeval + eventuele 3D-secure procedure moet doorlopen. Anderzijds dien je bij een aankoop in een winkel een pincode (niet altijd) in te voeren en een handtekening te zetten.

Je zou dus NOOIT een telefonische betaling moeten kunnen verrichten met je creditcard!
Telefonische betalingen met creditcard kan prima. Dat wordt Card Not Present transacties genoemd. Daar valt Internet onder, maar ook telefoon. Een andere aanduiding is MOTO (Mail Order Telephone Order).

Je geeft je kaartnummer, verloopdatum, naam en de code op de achterkant van de pas (CVV2 / CVC2).
zeg dat maar tegen tel-sell of hoe die toko ook heet tegenwoordig.
Dat blijft een probleem met een root/jailbreak-baar OS, als het in verkeerde handen valt is alles op de telefoon bereikbaar ook zonder dat de dief het user/password heeft. Dit is best een serieus probleem, en als 'bezorgde gebruiker' heb je niet veel keus - van de mainstream mobile OSsen is alleen Blackberry OS nog niet rootbaar.

[Reactie gewijzigd door Dreamvoid op 13 december 2011 15:27]

Als je je portemonnee verliest, hoeft men nog minder moeite te doen om de credit kaart te misbruiken.

Het kan beter, maar men moet niet overdrijven.
Met dat ene verschil dat iemand in Roemenie niet op afstand of via een applicatie de gegevens uit mijn portemonnee weet te vissen...
Knappe Roemeen die op een paar duizend kilometer afstand mijn telefoon weet te rooten.
Zoals hierboven al aangegeven... veel telefoons hebben standaard al root access..
Lees: ze hebben standaard een lek aan boord waardoor root access mogelijk is.
Ook dat klinkt een stuk anders dan de werkelijkheid. Bijna alle Android-telefoons kan je inderdaad rooten, maar deze manieren om de telefoon te rooten is eigenlijk altijd wel via een kabeltje aan een PC.
Bovendien draait Google Wallet alleen op een Nexus S(en misschien Galaxy Nexus tegenwoordig ook), en daar is root-toegang alleen mogelijk via een pc.

Ik zie je probleem dus niet, zelfs geroote gebruikers moeten toegang geven tot een applicatie om het te kunnen lezen en dan nog is er niet echt gevoelige info beschikbaar.
Telefoon jatten, kabeltje eraan, rooten en voila: ondanks dat je als dief het password van de gebruiker niet hebt, kan je toch bij alle data (ook die data die root-rechten vereist!).
Google biedt een dienst aan om jouw portemonnee te beheren, dan wordt verwacht dat een beetje veilig is.
Kwaadwillenden kunnen een gestolen of gevonden telefoon echter zelf rooten, om zo de informatie te achterhalen.
Ik kan mij vergissen, maar toen ik mijn telefoon rootte om er een andere ROM opzette, was ik all mijn apps en data kwijt.
Kan je androidtelefoons wel rooten zonder gegevensverlies, anybody?
Als je eerst de telefoon root en er vervolgens geen andere ROM op zet maar in de bestaande ROM gaat rondbanjeren, dan wel ja.
Ik vond het maar een onveilig gebeuren dat Wallet. Met enkel je e-mail wachtwoord kunnen ze je rekening leeghalen. Ik heb er maar voor bedankt. Wellicht is het nu verbeterd.
Voor zover ik kan zien, valt het met de onveiligheid nog wel mee. De echte pasgegevens zijn niet opgeslagen in de Wallet, maar in een zogenaamd Embedded Secure Element. Dat is een chip die je kunt vergelijken met de chip op je bankpas.

Er staan geen aanwijzingen in dit artikel dat de cruciale gegevens om echt een betaling te doen, ook in de Wallet zijn opgeslagen.
Misschien een van de redenen waarom Google Wallet niet beschikbaar was met de release van de Galaxy Nexus.
Het risico voor de gebruiker lijkt mij niet erg groot. Wat me wel tegenvalt is dat Google gegevvens onversleuteld opslaat. Nog niet zolang geleden kwamen er soortgelijke berichten in omloop over het onversleuteld opslaan van locatiegegevens http://tweakers.net/nieuw...elen-locatiediensten.html. Nee, ik wil apple niet bashen, het gebeurde ook op android. Na de reacties op deze berichten zou je verwachten dat ze iets zorgvuldiger met het onversleuteld opslaan omgaan.
Mij lijkt het wel een probleem, zolang de wallet door google wordt geupdate kan het een verminderd probleem worden. Maar de gaten in Android blijven, deze worden wel door google verholpen maar niet doorgevoerd door de makers van de telefoons. Er worden alleen maar meer gaten in Andriod gevonden en niet opgelost en dit alleen is voor mij een gegeven om geen betalingen te doen via een Android telefoon.

Als je via wifi een netwerk scan doet en je vind andriod telefoons (weet ff niet welke services standaard aan staan bij android) kan je deze lekker hacken en de wallet copieren en cracken lijkt mij.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True