Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 23 reacties

Google heeft een update uitgebracht voor zijn betaaldienst Wallet, waardoor kwaadwillenden niet meer gemakkelijk toegang kunnen krijgen tot het account. Een 'brute-force'-hack op geroote Android-apparaten blijft echter wel mogelijk.

Volgens de internetgigant kunnen gebruikers weer prepaidkaarten koppelen aan hun Wallet-account. Eerder bleek het mogelijk om toegang te krijgen tot andermans Wallet-account door de applicatiedata weg te gooien en zelf een prepaidkaart te koppelen. Met de uitgebrachte software-update wordt het onmogelijk om een bestaande prepaid-kaart te koppelen aan andermans Wallet-account. Daarmee lijkt Google echter niet het probleem te hebben verholpen dat met het weggooien van de applicatiedata de pincode gereset wordt.

Ook blijft het mogelijk om de pincode te achterhalen door een brute-force-aanval die onlangs werd gepubliceerd. Op een toestel met root is de hash van de pincode uit te lezen, waarna de pincode achterhaald kan worden door gegenereerde hashes stuk voor stuk te vergelijken met die van de pincode. Google geeft aan dat zijn Wallet-app niet bedoeld is voor gebruik op geroote Android-apparaten, en claimt dat er voor zover bekend nog geen misbruik van is gemaakt. Het lijkt er dus op dat de internetgigant voor dit probleem geen fix uit gaat brengen. Het is daardoor niet uitgesloten dat er een ander manier wordt gevonden om het geld wat een gebruiker al op zijn Wallet-account had gezet te ontfutselen.

Wallet is de mobiele betaaldienst van Google en werkt vooralsnog alleen in enkele winkelketens in de Verenigde Staten. Of en wanneer de dienst ook in Nederland gelanceerd gaat worden, is onduidelijk.

Moderatie-faq Wijzig weergave

Reacties (23)

Tja ik denk dat Google hier toch goed op moet gaan passen. Natuurlijk houden ze er erg van om ons erop te wijzen dat vanalles nog in de testfase is, maar als het om geld gaat zullen mensen toch erg goed opletten. Bij dit soort financiele producten is vertrouwen echt het sleutelwoord.

Ik denk dat met al deze negatieve publiciteit, mensen toch nog een paar keer achter hun oor zullen krabben voor ze Wallet gaan gebruiken. Zeker omdat de fouten vrij slordig overkomen en niet heel ingewikkeld zijn, laat dit geen zorgvuldige indruk achter van Google Wallet.

Het argument dat het niet op gerootte toestellen moet draaien vind ik ook niet sterk. Vrij veel mensen rooten hun toestel om allerlei uiteenlopende redenen. Daarnaast is rooten tegenwoordig vrij eenvoudig en echt niet alleen voorbehouden aan die-hard nerds :) Tot slot neemt ook de interesse in mobiele systemen toe bij mensen die malware fabriceren, wat het alleen maar riskanter zal maken in de toekomst.

[Reactie gewijzigd door Morrar op 15 februari 2012 13:14]

Als je wallet gebruikt, of eigenlijk bij elke hedendaagse smartfoon, hoor je gewoon op je telefoon een pincode of andere beveiliging. Je pinpas, ook met een pincode van 4 cijfers , laat je toch ook niet slingeren.
Als ik mijn chipknip verlies kan iemand zonder problemen het tegoed gebruiken, zonder dat er zelfs een pincode aan te pas komt, idem voor mijn portemonnee, toch vertrouwen mensen die producten wel.

storm in een glas water imho
Een pincode is ook veel te makkelijk te brute forcen. Als deze pincode ook maar vier cijfers is, zijn dat 10000 mogelijkheden. Daar ben je met een paar seconden doorheen. Dat kun je nauwelijks 'brute' noemen.
Daarom heb je ook meestal maar 3 pogingen ;)
Dit klopt, maar wat ze hier doen is het uitlezen van de HASH code, welke ze op een ander medium (en dus niet handmatig, met de limitatie van 3x) kraken.
Maar het is niet variabel (zoals een sms/random reader/etc.) en dus makkelijker te phishen.
Goede zaak van Google.. Toch vertrouw ik zulke betaal systemen niet..
Ik hou het touch liever bij paypal, dat niet gekoppelt is met je rekeneing.. iDeal ben ik zelf geen voorstander van bijvoorbeelt
Waar koppel je paypal dan aan? Of boek je zelf geld over ernaartoe?
Het nadeel is dat het enkel op e-mail+password vertrouwd voor de toegang. Dat vind ik te weinig. iDeal leunt op de beveiliging van je bank. Bij mij is dat met SMS (ING).

Maar betalen met m'n mobiel moet ik ook niet aan denken, voorlopig. Ik vertrouw die software en beveiliging niet.

PS: betaalsystemen en bijvoorbeeld ;)
Aan een creditcard bijvoorbeeld, daarbij heb je nog extra garanties van de creditcard verlener m.b.t. je betaling. Wanneer op frauduleuze wijze geld van een creditcard af is gehaald, maken de meeste betaalkaart-aanbieders daar wel een zaak van en is de klant gedekt.
Als je alleen prepaid kaarten aan je mobiel koppelt, dan kan mij de beveiliging ook niet zo heel veel schelen. Mijn portemonnee heeft helemaal geen beveiliging.
Ik ben eigenlijk wel benieuwd hoe de Rabobank dit heeft aangepakt met de app voor iOS. Hier is (voor betalingen, inzicht, et cetera) ook een pincode benodigd. Zal deze ook zijn opslagen via een hash op de telefoon en dan serverside worden gecheckt? Nu gebruik ik zelf een gejailbreakte iPhone dus ik ben hier wel benieuwd naar.
Wat ik zover heb kunnen vinden over de verschillende varianten is:

ABN-AMRO heeft voor het doen van betalingen / overmaken van geld nogsteeds de e-identifier nodig (en dus de bijbehorende pin-pas)

Rabobank vereist ook een e-identifier (staat in het volgende nieuws bericht: nieuws: ING brengt iOS- en Android-app uit) Ja, dit bericht gaat over ING maar Rabobank wordt er ook in genoemd.

ING werkt via de tan-codes die naar je telefoon gestuurd worden. Dus persoonlijk lijkt mij dit nog de meest zwakke van de drie. Want als je het apparaat hebt heb je dus ook de tancodes. Dus dan hou je alleen de beveiliging over van de pincode voor de app en de telefoon,.
beide banken vragen om een identifier als het gaat om geld overmaken naar nummers die nog niet eerder zijn gebruikt. Ik kan dus als jij ooit geld naar mij hebt overgemaakt en als ikjouw pincode achterhaal dus wel zonder identifier geld stelen. Maar dat maakt het wel lastiger en potentieel achteraf makkelijker op te sporen.
Oke, ik dacht dat je bij de ABN (die gebruiken wij, tenminste niet ik maar mijn vrouw) altijd opnieuw de e-identifier moest gebruiken.
Klinkt behoorlijk veilig als je dus niet geroot bent. In theorie zal die factory reset waarschijnlijk niet de gehele flash overschrijven maar het wordt best lastig en loont waarschijnlijk de moeite niet meer.
Dan nog, als je telefoon gejat is dan lijkt me een tegoed wat je op je wallet hebt staan nu niet direct iets waar je je primair zorgen over maakt.
Vindt het verhaal een beetje verwarrend, het probleem is gefixed maar er is niets gefixed. Als je root en de data weggooid kan je er nogsteeds bij en via een brute force kan je er ook nogsteeds bij...

Dit geeft mij niet het vertrouwen terug in Google Wallet.
Kan iemand nu dus een gestolen telefoon rooten om toegang te krijgen? Of moet dit toestel al geroot zijn door de eigenaar omdat bij het rooten de informatie verloren gaat?
Doorsnee reboot het toestel bij een root-poging
Dus zonder de toestel-pin krijg je de telefoon niet meer aan.
Zodra je een toestel root wordt er een factory reset uitgevoerd en ben je alles kwijt.
Dit is overigens verkeerde informatie. Vaak word er om een telefoon te "rooten", en dus root toegang te krijgen, een volledige nieuwe rom geflashed. Hierbij heb je inderdaad te maken met een factory reset. Echter zijn er ook genoeg methoden voor verscheidene telefoons waarmee je zonder reset ook gewoon kunt rooten, met de stock firmware die je provider/telefoon leverancier erop heeft gezet.

Als voorbeeld mijn Acer Liquid MT. Daarop is het mogelijk om, wel met een custom recovery, te rooten zonder reset. Zowel de root als de recovery zijn op de telefoon te zetten zonder dat deze word gewist.
Tijd voor iets dat wel werkt, bitcoin ftw.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True