Beveiligingsonderzoekers hebben ontdekt dat Googles betaaldienst Wallet verscheidene gegevens onversleuteld opslaat. Dat geldt bijvoorbeeld voor de laatste vier cijfers van de creditcard. Ook transactiegegevens zijn niet versleuteld.
Volgens beveiligingsbedrijf Via Forensics zijn naast deze gegevens ook het resterende krediet op de betaalkaart, betaallimieten, de locaties waar Wallet is gebruikt en de naam onversleuteld opgeslagen op de telefoon. Daarnaast is het mogelijk om persoonlijke gegevens terug te halen nadat deze van de telefoon zijn gewist. Hiervoor heeft Google een recovery-feature ingebouwd.
De onderzoekers slaagden erin om de informatie te achterhalen, maar hiervoor gebruikten zij wel een Android-telefoon met roottoegang. Normaal gesproken zou er geen toegang zijn tot de gegevens, waardoor de impact beperkt blijft. Kwaadwillenden kunnen een gestolen of gevonden telefoon echter zelf rooten, om zo de informatie te achterhalen. Via Forensics slaagde er niet in om een man-in-the-middle-aanval uit te voeren.
Google liet aan Cnet weten dat de beveiliging van de betaaldienst in orde is, omdat geen toegang kan worden verkregen tot het volledige creditcardnummer. Wel heeft de internetgigant toegezegd de recovery-feature aan te passen, zodat data na een reset niet meer is terug te halen.
Wallet is een betaaldienst voor mobiele telefoons, die met de korteafstandstechnologie nfc werkt. Deze is momenteel alleen nog maar beschikbaar voor Android en werkt alleen in de Verenigde Staten. Het is mogelijk dat de dienst in andere landen wordt uitgerold, maar daarvoor moet Google afspraken maken met betalingsproviders. Ook is het noodzakelijk dat winkels de dienst gaan ondersteunen.
