Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 59 reacties

Het blijkt kinderlijk eenvoudig om toegang te krijgen tot een account van Googles mobiele betaaldienst Wallet. Door de data die in de app is opgeslagen weg te gooien wordt om een nieuwe pincode gevraagd, waardoor een hack niet nodig is.

De applicatiedata kan gemakkelijk weggegooid worden door naar de instellingen van het Android-apparaat te gaan. Wanneer een kwaadwillende dan een prepaid betaalkaart van Google met Wallet koppelt, wordt er toegang verkregen tot het geld dat de gebruiker al via prepaid op zijn telefoon had gezet. Omdat prepaidtegoed gekoppeld is aan de telefoon en niet aan een account, blijft het geld beschikbaar ondanks het resetten van de applicatiedata.

Google raadt Wallet-gebruikers die hun telefoon hebben verloren aan om te bellen met de klantenservice om de prepaidkaarten die het bedrijf aanbiedt te laten blokkeren. Daardoor zou de truc niet meer werken. Er wordt gewerkt aan een software-update die volgens de internetgigant snel wordt uitgerold.

Kortgeleden kwam Wallet al in het nieuws doordat een beveiligingsbedrijf er in was geslaagd de pincode te achterhalen. Er werd daarbij een brute force-aanval gebruikt om hashes van de pincode uit te lezen. Deze techniek bleek alleen te werken op Android-toestellen die roottoegang hebben, waardoor de impact beperkt blijft. De nieuwere methode is echter een stuk simpeler en werkt bij alle gebruikers van Wallet. Wel moeten kwaadwillenden het Android-apparaat van de Wallet-gebruiker in handen hebben en toegang tot het toestel hebben.

Moderatie-faq Wijzig weergave

Reacties (59)

Veel berichten over de Wallet. Kennelijk zijn er verschillende manieren om deze wallet te kraken...

Echter is het bij iedere hack zo dat je de telefoon van de persoon nodig hebt. Wanneer je geld transacties gaat doen op een telefoon dan kun je het beste zelf alles gaan beveiligen door middel van een pincode die moet worden ingevuld om de betreffende actie uit te voeren. Een nog beter idee is om bepaalde applicaties onzichtbaar te maken zodat een dief de fraude gevoelige applicaties niet kan zien. Wanneer dan de root toegang wordt beveiligd is de beveiliging al een stuk beter.

Het is wel verontrustend dat de beveiligingen van de wallet op verschillende manieren omzeild kan worden.
Lekker dan. Niet erg goed over nagedacht.
Dat vind ik toch wat kort door de bocht. Het is eigenlijk niet zo anders als een "ouderwetse" portemonne. Als iemand anders die in handen krijgt kan hij ook al het geld wat erin zit gebruiken. Sterker nog Met de chipknip is het zelfs nog eenvoudiger. Daar hoef je geen pincode te resetten of tegoed toe te voegen of wat dan ook. Je kan overal het geld gebruiken.

Het hele idee hiervan is dat mensen simpelweg gewoon niet met duizenden euro's in hun ouderwetse danwel elektronische portemonnee zouden moeten gaan rondlopen.
Sterker nog bij de digitale varianten zitten altijd harde limieten hierop in tegenstelling tot de ouderwetse portemonne met papiergeld. Het zou kwalijker zijn als het opladen/opwaarderen van iemands anders rekening gekraakt zou zijn en zo iemands hele bankrekening geplundert zou kunnen worden.

Komt er nu morgen in het nieuws chipknip gehackt? omdat er bij het gebruik in het ontwerp de keuze is gemaakt geen authenticatie toe te passen, maar dit alleen met opladen doen? Hetzelfde is trouwens ook het verhaal met diverse mobiel bankieren apps. Ook daarvoor word je geacht diefstal van je mobiel te raporteren anders kunnen kwaadwillenden ook beperkte bedragen overmaken naar andere rekeningen.

Gebruikers kiezen zelf voor dit "gemak" en daar hoort ook gewoon risico bij.
Met telkens dit soort "ongein" hebben de mobiele betaaldiensten nog een lange weg te gaan, voordat ze ook maar enige bedreiging gaan vormen voor de reguliere betaalmethoden.

Goed, je zou kunnen zeggen dat dit de kinderziektes zijn waar early adopters mee te maken krijgen, maar wanneer mensen het risico lopen hun zuurverdiende centjes kwijt te raken, en er doen zich een paar incidenten voor, is het consumentenvertrouwen snel verdwenen.

Daar komt bij dat het in mijn ogen steeds complexer wordt. Met zoveel partijen "in de loop", is het voor de consument onduidelijk waar hij/zij aan moet kloppen als er een fout is gemaakt en er geld 'weg' is. Ook daar zullen harde en duidelijke afspraken over moeten komen. Aanvullende eisen zoals "je mobiel moet voldoende beveiligd zijn" of "mag niet geroot zijn" of iets dergelijks zie ik eerlijk gezegd ook nog wel overwogen worden.

[Reactie gewijzigd door Eagle Creek op 10 februari 2012 11:46]

Let wel op dat de misbruiker fysiek toegang tot de smartphone moet hebben. Het zwakste punt in de beveiliging is de code/tegoed lokaal opslaan. Dan is een brute-force aanval effectief. Als de verificatie niet lokaal maar online gebeurt, is dit probleem minder. Zeker als er een vereiste vertraging plaatsvindt zodat elke poging minimaal een X duur kost.

Ik ben verrast dat Google Wallet zo is beveiligd. Het is bijna te makkelijk voor woorden...
Ik weet alleen niet of het voor Google wel een handige zet is om met eisen te komen als dat roottoegang verboden is. Juist de groep early adopters die zij maar al te graag als testers gebruiken (zie bijvoorbeeld het project van de CR-48 Chromebook en het versturen van Nexus-telefoons aan developers) zal dit soort dingen met hun telefoon doen. Als je dan de afweging moet maken tussen het niet kunnen gebruiken van één app of ontelbare functionaliteit van je telefoon verliezen, denk ik wel dat ik weet waar ze voor gaan. Ik zou zelf in ieder geval nooit roottoegang opgeven voor welke applicatie dan ook. Al moest ik met pen en papier geld gaan overmaken, zou ik dat er nog voor overhebben. Net als dat ik geen Windows op m'n computer wil draaien en geen digitale televisie met zo'n "handige" decoder wil; simpelweg persoonlijke afwegingen.

Op xda-developers zijn ook genoeg threads te vinden over bank-apps die de su-binary zoeken voordat ze opstarten. Ik ben nog geen enkel persoon tegengekomen die dacht "dan ga ik wel terug naar de stock ROM". Ze zochten allemaal een workaround of gebruikten gewoon de applicatie niet meer. Het deel powerusers valt nu eenmaal grotendeels in de groep Linux-gebruikers, en daar is de mentaliteit op het gebied van beveiliging toch anders. Zo'n applicatie hoort gewoon waterdicht te zijn. Faalt de maker daarin, ligt het aan de applicatie, niet aan het platform dat kwaadwillenden de mogelijkheid geeft om bij de data van slecht ontwikkelde applicaties te komen.

Maar aan de andere kant: waarom moeten dit soort dingen toch allemaal? Wat is nu precies het verschil tussen je telefoon tegen een plaat aan houden (waarmee je geheid je batterijcover gaat beschadigen) en een pincode ingeven of gewoon even een pinpas in een daarvoor bestemd kastje stoppen? Wat was er mis met de strippenkaart die ten faveure van een met problemen geteisterd systeem in de ban is gedaan? Iedereen noemt het wel vooruitgang; en op technologisch gebied is dat het misschien ook wel, maar is het voor de consument wel echt nodig? Het huidige systeem met pinpassen en chipkaarten kan toch nog makkelijk 100 jaar zo bestaan? Wie heeft er nou ooit bij de kassa gestaan en gedacht "wat is dit toch een onhandig systeem, kon ik maar een ander ding op een net iets andere plaats houden om dezelfde actie uit te voeren"?

Dat de mogelijkheid bestaat voor mensen die ermee willen experimenteren is prima, maar bedrijven hebben altijd de vervelende neiging om bij nieuwe technologie zo snel mogelijk alle "oude" mogelijkheden de markt uit te drukken, vaak met behulp van de media die dergelijke ontwikkelingen als revolutionair neerzetten. En niemand die doorheeft dat het misschien wel eens daarom kan zijn dat een kwart van de Nederlandse bevolking depressief is.
Tjah, Als je je chipknip/chipkaart/contant geld fysiek kwijtraakt kunnen "Kwaadwillenden" ook bij je geld. Zo'n heel groot drama is het nou ook weer niet.
Inderdaad en bovendien zal de telefoon ook nog wel een pincode of op z'n minste een pattern code hebben om het OS te ontgrendelen. Daar wordt in deze video wel gemakkelijk voorbij gegaan.
Feit blijft dat dit eigenlijk niet kan en de prepaid zou aan de gebruiker moeten zijn toegekend om te beginnen...
Ik gebruik ook een mobiele betaaldienst die altijd in m'n zak zit en precies dezelfde kwetsbaarheid heeft (bij fysieke toegang door ongure personen kan het geld verdwijnen). Dat is mijn portemonnee, gevuld met echte papieren euro's.

Met dergelijke kwetsbaarheden is virtueel geld op z'n best even veilig als fysiek geld, dus sluit ik me volledig aan bij jouw conclusie dat betaaldiensten nog een lange weg te gaan hebben en wil het zelfs nog sterker stellen: Het is onwaarschijnlijk en ongewenst dat ze contante betaling in alle gevallen vervangen.

[Reactie gewijzigd door mae-t.net op 11 februari 2012 19:45]

En dat is dan ook nog de reden dat dit een Beta product is. Dit soort fouten worden nu opgespoort en aangepakt.

Wat nog wel de vraag is wie voor de beveiliging verantwoordelijk is en hoe het opgelost kan worden. Moet dit door de banken of Google worden gedaan. Indien dit soort beveiligingen op het toestel worden opgeslagen is het voor Google en wordt er via de NFC chip beveiligt kan het net zo goed voor de banken zijn.
Kortgeleden kwam Wallet al in het nieuws doordat een beveiligingsbedrijf er in was geslaagd de pincode te achterhalen. Er werd daarbij een brute force-aanval gebruikt om hashes van de pincode uit te lezen. Deze techniek bleek alleen te werken op Android-toestellen die roottoegang hebben, waardoor de impact beperkt blijft. De nieuwere methode is echter een stuk simpeler en werkt bij alle gebruikers van Wallet. Wel moeten kwaadwillenden het Android-apparaat van de Wallet-gebruiker in handen hebben en toegang tot het toestel hebben
Het schijnt dat de pincode op dit moment op het toestel wordt opgeslagen en indien je je toestel geroot hebt kan die simpel worden uitgelezen. Indien geen root, is dat weer niet mogelijk. Echter is het natuurlijk wel een mooie plek voor hackers om in rond te gaan struinen. Brute force is ook alleen mogelijk indien je je toestel geroot hebt

Al met al is dit een beetje een storm in een glas water. Google Wallet is niet voor niets nog in een test stadium, waar je niet anders verwacht dat dit soort "problemen" de kop op steken.

[Reactie gewijzigd door shakedown op 10 februari 2012 10:42]

Waar vind je eigenlijk terug dat het een beta product is?

Ik heb uit nieuwsgierigheid even naar de pagina gestuurd om een google wallet account aan te maken, en nergens zag ik staan dat het een beta of testversie is. Zelfs in de FAQ wordt er niets over gezegd. Voor de terms of service moet ik blijkbaar inloggen...

Een search naar het woord "beta" op de google.com/wallet geeft 1 resultaat: de beta van "offers of the day".

Google mag misschien met het woord "beta" de problemen proberen te minimalizeren (en dat doen ze niet eens voor zover ik weet), maar als je nergens vermeld dat het om een testversie gaat is het gewoonweg geen testversie.
Daarnaast:
Als je een portomonnee verliest, en iemand pakt hem van straat, dan is het ook niet heel moeilijk om bij het pre-paid tegoed te komen (zeg: Contant geld).
Als ik het goed begrijp is nu met de telefoon hetzelfde: Als je hem verliest is het niet moeilijk om bij het pre-paid tegoed te komen.

Lijkt wel een echte wallet zo.
precies, ik zat me al af te vragen wat iedereen nu het grote probleem vind, ik betwijfel of de meeste tweakers een portemonnee hebben met een vergelijkbare beveiliging.

neemt niet weg dat deze truc wel rommelig is, maar net als bij een normale "wallet" moet je fysieke toegang hebben.
Mischien is het zo dat je het meer moet vergelijken met je pinpas. Je portomonee verlies je maar schijnbaar is het heel makkelijk om je pinpas te achterhalen.

Want google wallet bied ook een pincode alleen schijnbaar makkelijk te achterhalen.
Dit is absoluut niet vergelijkbaar met een pinpas, dit is meer te vergelijken met een chipknip/chipper, daar kun je ook zonder code geld vanaf halen.
Is gmail inmiddels al uit beta?
(om aan te geven hoelang google denkt dat een product in beta is...)
Ja. Gmail is al lang en breed uit beta. Dat is gebeurt toe ze extra ondersteuning/service gingen leveren aan bedrijven.

Het is via Google Labs wel weer mogelijk om je Beta label in je gmail terug te krijgen als grapje...
Gmail was launched as an invitation-only beta release on April 1, 2004[6] and it became available to the general public on February 7, 2007, though still in beta status at that time.[7] The service was upgraded from beta status on July 7, 2009
Ik gebruik gmail al vanaf 2004... dus heb het effectief 5 jaar in beta gebruikt.

Dus nogmaals; het feit dat google er een sticker "beta" op plakt heeft weinig waarde...
... eerder een excuus om bugs goed te praten. :)
En dus de rede dat je niet moet zeuren als je het toch gebruikt :) Ja het is een excuse, maar wat is het excuse van de gebruiker als die wat kwijt raakt via een zelf gekozen betadienst? Het blijft de gebruiker die die keuze heeft gemaakt om van een beta (of dat nou 1 maand of 10 jaar is) gebruik wilt maken!
Als het daadwerkelijk nog een beta-product was, had het mijns inziens nooit zo grootschalig ingezet mogen worden.
Het zal allemaal wel in voorwaarden staan, maar netjes is anders.
Het zijn de gebruikers die er voor kiezen het grootschalig in te zetten, google bied alleen de optie. Het is niet verplicht.
Gelukkig dat een betaaldienst op een toestel gezet worden wat gewoon verkocht wordt en dan toch beta is voor al 5 maanden...

Beta of niet, dan moet je het ook niet op toestellen integreren. Want klanten maken geen onderscheid tussen beta of niet. Het is een betaaldienst. Als je dat soort dingen in beta wilt doen doe je dat met een beperkte groep mensen die er bewust voor kiezen om mee te doen.

Het is niet een één of andere social app ofzo...

En dit probleem was juist nou net hetgeen wat het moest oplossen:
While a stolen debit card can be used in some circumstance without a personal identification number (PIN) or signature, the Google Wallet requires a PIN and has additional security:

Google Wallet stores encrypted user information on a computer chip called the Secure Element.
The Android device itself can be locked with a personal identification number (PIN).
The Google Wallet app requires an additional PIN to activate the antenna of NFC chip.
The Google Wallet device must touch or be in close proximity to a MasterCard PayPass reader.
Once the transaction is completed, the antenna is turned off. Additional transactions require the PIN to be entered again.

The Secure Element only stores data and is required to open the Google Wallet app. The Secure Element memory is separate from the device memory. The chip is designed to only allow trusted programs on the Secure Element itself to access the payment credentials stored therein. The secure encryption technology of the credit card issuing institution protects your payment card credentials as they are transferred from the phone to the reader.
Dus de beloofte beveiligings problemen die het zou oplossing in vergelijking tot normale debit kaarten lost het niet op.

[Reactie gewijzigd door ronaldmathies op 10 februari 2012 10:34]

Misschien is het in de US anders maar Google Wallet moet ik toch altijd zelf downloaden (via de market) en staat niet standaard op toestellen hier in NL...
En dat is dan ook nog de reden dat dit een Beta product is. Dit soort fouten worden nu opgespoort en aangepakt.

Ik vind toch dat financiële apps geen beta label mogen hebben als ze verspreid worden. Google had dit perfect kunnen voorzien.
Ik zou mij eerder druk maken om mijn telefoon van 600 euro als ik die verlies en alle data die erop staat dan het prepaid tegoed van misschien 50 euro.
Ik vind het toch grappig dat er zo lauw op gereageerd wordt hier.
Ik vraag me sterk af hoe de toon van de reacties zou zijn als het Microsoft betrof.
Maar zoals ik het lees is dit eigenlijk vergelijkbaar met de chipknip of zelfs contant geld? Dat ben je toch ook kwijt als het verliest? Dus mij lijkt het minder gevaarlijk dan het lijkt.
Dit neemt natuurlijk niet weg dat het mooier zou zijn als het niet kon.
Ja maar hou zou juist niet vergelijkbaar moeten zijn met chipknip of contact geld. Het zou juist een beveiligde variant hiervan moeten zijn.

Lees hierboven wat de doelstelling was van Google Wallet.
Precies, dat was ook mijn eerste gedachte. Als je je wallet verliest ben je kwijt wat erin zit... ja duh, lekker logisch. Al die ophef is wat overdreven als je het mij vraagt.

Als ze nou zeggen dat het eenvoudig mogelijk is om het saldo dat blijkbaar aan de telefoon gekoppeld is kunt stelen via een app via het internet ofzo, dan snap ik het. Maar zelfs als het via NFC (=<3cm afstand) zou zijn, is het sterk vergelijkbaar met zakkenrollers in de 'echte wereld'.
Eerder met de pinpas, maar dan waar alle beveiliging en het tegoed zelf op de telefoon zelf zit. Als je chipknip of contant geld gestolen wordt kan een ander het nog uitgeven; dit zou bij Wallet niet moeten kunnen, omdat de gebruiker een pincode in moet vullen. Maar daar is dus omheen gewerkt.

Ik geloof overigens nooit dat een betaalsysteem waar het geld 'lokaal' opgeslagen zit, zoals in de telefoon in dit geval, 100% beveiligd kan worden. Zelfs met betere encryptie zou het nog mogelijk moeten zijn om de beveiligingscode te achterhalen dmv bruteforce.

Een betaalsysteem als dit moet je daarom ook nooit aan creditcards of je bankrekening koppelen, en nooit voor grote bedragen gebruiken.
dit is een chipknip voor nfc betalingen, meer niet.
Nee dat is het niet, het is een pinpas voor NFC betalingen.. er zit een pincode op, net als je pinpas.
het is een chipknip met een pincode, dat is fundamenteel anders dan een pinpas waar je toegang hebt tot je rekening.

het is dus niet te vergelijken met een normale pinpas.

[Reactie gewijzigd door blouweKip op 10 februari 2012 13:55]

Fijn, stelen ze mijn telefoon, ben ik ook nog mijn geld kwijt. Dubbel pech! Snap ook niet waarom ik uberhaubt geld in mijn telefoon zou willen opslaan; een broekzak met muntjes is wel zo handig.
Maar dan stelen ze je broek. :+
Google raadt Wallet-gebruikers die hun telefoon hebben verloren aan om te bellen met de klantenservice
Drie dubbel pech!
Bellen met een telefoon die je niet meer hebt is ook aan het onmogelijke grenzend
Dit is toch wel zo slordig dat het beangstigend is...

Erm, google (en vele andere) hoe belangrijk is security eigenlijk voor jullie? Het zijn de persoonsgegevens van je klanten (= inkomstenbron) waar je russisch roulette mee speelt...

Negatieve reclame mag dan wel reclame zijn maar dit schaadt toch echt je merk!
Wel moeten kwaadwillenden het Android-apparaat van de Wallet-gebruiker in handen hebben en toegang tot het toestel hebben.
verwachte reactie na een week...

Ohnee, je kunt toch toegang krijgen door een stukje malware wat je kan isntalleren uit de androidmarket.

Als je met je social engineering de wallet gebruikers target...

[Reactie gewijzigd door Jumparound op 10 februari 2012 10:21]

Dit is toch wel zo slordig dat het beangstigend is...
Eens. Een tijdje terug had Visa eenzelfde soort issue, namelijk dat je je 'Verified by Visa' wachtwoord kon resetten, simpelweg door een nieuw wachtwoord in te voeren...
Volgens mij wordt er teveel naar usability gekeken, ook wanneer dat het onderliggende security model ondermijnt.
Het zijn de persoonsgegevens van je klanten (= inkomstenbron) waar je russisch roulette mee speelt..
Het gaat niet om persoonsgegevens, maar om pre-paid tegoed.

[Reactie gewijzigd door Zer0 op 10 februari 2012 10:34]

waarom dan:
Google Wallet stores encrypted user information on a computer chip called the Secure Element.
Aangezien ze de pin kunnen decrypen, waarom de rest (whatever that may be) niet?
Dat was het vorige artikel, dit artikel gaat over het wissen van de gegevens om zo toegang te krijgen tot het tegoed.
sure en het vorige artikel is daarom ineens minder waar? denk het niet. i.c.m. dit artikel denk ik dat dit programma eigenlijk helemaal niet uitgerold had mogen worden. het is zo lek als een mandje.

het mag dan wel een beta product zijn, maar als het over geld gaat hadden ze het beter intern ff mogen testen, want dit soort fouten waren dan ook wel aan het licht gekomen.
Dat laat maar weer zien dat zelfs een bedrijf als Google, dat toch een flinke verzameling knappe koppen in dienst heeft, kinderlijk eenvoudige fouten maakt.
Een ketting is zo sterk als de zwakste schakel. Apple heeft dat al eens meegemaakt en heeft de regie van ontwikkeling tot product grotendeels strak in handen. Aandeelhouders krijgen geen dividend dus die vallen je ook niet lastig. Google groeit met de visie om de grootste te worden. Maar ik zie er niet bepaald een beleid in.
Is dit nou losstaand van google checkout? Aangezien je daar je creditcard in moet stoppen om in de android market dingen te kunnen kopen hoop ik van wel. Nou is dat natuurlijk sowieso al gekoppeld aan je account en niet aan je toestel, maar toch.
Ja, dit is losstaand van Google Checkout - vooralsnog. Google Wallet is effectief een app op een smartphone met NFC waar een bepaald tegoed in staat. Deze kun je tegen een lezer bij bepaalde winkels houden om voor een product of dienst te betalen.

En betaling via NFC zal heel erg groot worden, ben ik vrij zeker van. Ik bedoel, als TLS meewerkt kunnen we binnen een paar jaar betalen voor het OV via de smartphone.
En omdat de telefoonmakers hun software praktisch niet updaten zal het nog wel even duren voor dat alle telefoons die in gebruik zijn van deze bug zijn verlost. |:(
Aangezien praktisch maar 1 toestel NFC heeft, en die van Google is (Galaxy Nexus) is dat probleem dus niet-bestaand ;)

Daarbij is Google Wallet een app uit de market en die kan je dus gewoon via de market updaten zonder dat jouw fabrikant daar wat mee te maken heeft :)

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True