Google brengt fix uit voor veiligheidsprobleem Wallet

Google heeft een update uitgebracht voor zijn betaaldienst Wallet, waardoor kwaadwillenden niet meer gemakkelijk toegang kunnen krijgen tot het account. Een 'brute-force'-hack op geroote Android-apparaten blijft echter wel mogelijk.

Volgens de internetgigant kunnen gebruikers weer prepaidkaarten koppelen aan hun Wallet-account. Eerder bleek het mogelijk om toegang te krijgen tot andermans Wallet-account door de applicatiedata weg te gooien en zelf een prepaidkaart te koppelen. Met de uitgebrachte software-update wordt het onmogelijk om een bestaande prepaid-kaart te koppelen aan andermans Wallet-account. Daarmee lijkt Google echter niet het probleem te hebben verholpen dat met het weggooien van de applicatiedata de pincode gereset wordt.

Ook blijft het mogelijk om de pincode te achterhalen door een brute-force-aanval die onlangs werd gepubliceerd. Op een toestel met root is de hash van de pincode uit te lezen, waarna de pincode achterhaald kan worden door gegenereerde hashes stuk voor stuk te vergelijken met die van de pincode. Google geeft aan dat zijn Wallet-app niet bedoeld is voor gebruik op geroote Android-apparaten, en claimt dat er voor zover bekend nog geen misbruik van is gemaakt. Het lijkt er dus op dat de internetgigant voor dit probleem geen fix uit gaat brengen. Het is daardoor niet uitgesloten dat er een ander manier wordt gevonden om het geld wat een gebruiker al op zijn Wallet-account had gezet te ontfutselen.

Wallet is de mobiele betaaldienst van Google en werkt vooralsnog alleen in enkele winkelketens in de Verenigde Staten. Of en wanneer de dienst ook in Nederland gelanceerd gaat worden, is onduidelijk.

Door RoD

Forum Admin Mobile & FP PowerMod

Feedback • 15-02-2012 13:05 23

15-02-2012 • 13:05

23

Lees meer

Google Nexus S

geen prijs bekend

4 van 5 sterren
Samsung Galaxy Nexus i9250

geen prijs bekend

4.5 van 5 sterren
Gerucht: Google gaat fysieke betaalkaarten aanbieden
Gerucht: Google gaat fysieke betaalkaarten aanbieden Nieuws van 2 november 2012
Google breidt creditcard-ondersteuning voor Wallet uit
Google breidt creditcard-ondersteuning voor Wallet uit Nieuws van 2 augustus 2012
Deutsche Telekom is in gesprek met Google over mobiel betalen
Deutsche Telekom is in gesprek met Google over mobiel betalen Nieuws van 4 juli 2012
Google koopt betaaldienst TxVia om Wallet uit te breiden
Google koopt betaaldienst TxVia om Wallet uit te breiden Nieuws van 3 april 2012
'Google verplicht gebruik Wallet voor in-app-aankopen Android' - update
'Google verplicht gebruik Wallet voor in-app-aankopen Android' - update Nieuws van 9 maart 2012
Brit eist geld terug Android-telefoon vanwege privacybeleid Google
Brit eist geld terug Android-telefoon vanwege privacybeleid Google Nieuws van 2 maart 2012
Microsoft opent privacyaanval op Google
Microsoft opent privacyaanval op Google Nieuws van 21 februari 2012
Hacker steelt wachtwoorden 338.000 accounts carrièresite
Hacker steelt wachtwoorden 338.000 accounts carrièresite Nieuws van 17 februari 2012
Google omzeilde do-not-track-bescherming Safari
Google omzeilde do-not-track-bescherming Safari Nieuws van 17 februari 2012
Google blokkeert prepaid-kaarten na Wallet-hack
Google blokkeert prepaid-kaarten na Wallet-hack Nieuws van 12 februari 2012
Simpele truc geeft kwaadwillenden toegang tot Google Wallet
Simpele truc geeft kwaadwillenden toegang tot Google Wallet Nieuws van 10 februari 2012
Pincode Google Wallet is te achterhalen op toestel met root
Pincode Google Wallet is te achterhalen op toestel met root Nieuws van 9 februari 2012
'Google Wallet slaat veel gegevens onversleuteld op'
'Google Wallet slaat veel gegevens onversleuteld op' Nieuws van 13 december 2011
Meer producten en artikelen
E-commerce Smartphones Mobiele besturingssystemen Privacy Google Samsung Android Nexus Galaxy Beveiliging Hackers

Reacties (23)

-Moderatie-faq
23
23
18
0
0
2
Wijzig sortering
Morrar 15 februari 2012 13:12
Tja ik denk dat Google hier toch goed op moet gaan passen. Natuurlijk houden ze er erg van om ons erop te wijzen dat vanalles nog in de testfase is, maar als het om geld gaat zullen mensen toch erg goed opletten. Bij dit soort financiele producten is vertrouwen echt het sleutelwoord.

Ik denk dat met al deze negatieve publiciteit, mensen toch nog een paar keer achter hun oor zullen krabben voor ze Wallet gaan gebruiken. Zeker omdat de fouten vrij slordig overkomen en niet heel ingewikkeld zijn, laat dit geen zorgvuldige indruk achter van Google Wallet.

Het argument dat het niet op gerootte toestellen moet draaien vind ik ook niet sterk. Vrij veel mensen rooten hun toestel om allerlei uiteenlopende redenen. Daarnaast is rooten tegenwoordig vrij eenvoudig en echt niet alleen voorbehouden aan die-hard nerds :) Tot slot neemt ook de interesse in mobiele systemen toe bij mensen die malware fabriceren, wat het alleen maar riskanter zal maken in de toekomst.

[Reactie gewijzigd door Morrar op 26 juli 2024 11:16]

Anoniem: 78042 @Morrar15 februari 2012 14:11
Als je wallet gebruikt, of eigenlijk bij elke hedendaagse smartfoon, hoor je gewoon op je telefoon een pincode of andere beveiliging. Je pinpas, ook met een pincode van 4 cijfers , laat je toch ook niet slingeren.
blouweKip @Morrar15 februari 2012 16:15
Als ik mijn chipknip verlies kan iemand zonder problemen het tegoed gebruiken, zonder dat er zelfs een pincode aan te pas komt, idem voor mijn portemonnee, toch vertrouwen mensen die producten wel.

storm in een glas water imho
Room42 15 februari 2012 13:10
Een pincode is ook veel te makkelijk te brute forcen. Als deze pincode ook maar vier cijfers is, zijn dat 10000 mogelijkheden. Daar ben je met een paar seconden doorheen. Dat kun je nauwelijks 'brute' noemen.
Tommert38 @Room4215 februari 2012 14:07
Daarom heb je ook meestal maar 3 pogingen ;)
markheloking @Tommert3815 februari 2012 14:27
Dit klopt, maar wat ze hier doen is het uitlezen van de HASH code, welke ze op een ander medium (en dus niet handmatig, met de limitatie van 3x) kraken.
Room42 @Tommert3815 februari 2012 14:27
Maar het is niet variabel (zoals een sms/random reader/etc.) en dus makkelijker te phishen.
Anoniem: 340068 15 februari 2012 13:09
Goede zaak van Google.. Toch vertrouw ik zulke betaal systemen niet..
Ik hou het touch liever bij paypal, dat niet gekoppelt is met je rekeneing.. iDeal ben ik zelf geen voorstander van bijvoorbeelt
Room42 @Anoniem: 34006815 februari 2012 13:15
Waar koppel je paypal dan aan? Of boek je zelf geld over ernaartoe?
Het nadeel is dat het enkel op e-mail+password vertrouwd voor de toegang. Dat vind ik te weinig. iDeal leunt op de beveiliging van je bank. Bij mij is dat met SMS (ING).

Maar betalen met m'n mobiel moet ik ook niet aan denken, voorlopig. Ik vertrouw die software en beveiliging niet.

PS: betaalsystemen en bijvoorbeeld ;)
Ulysses @Room4215 februari 2012 14:51
Aan een creditcard bijvoorbeeld, daarbij heb je nog extra garanties van de creditcard verlener m.b.t. je betaling. Wanneer op frauduleuze wijze geld van een creditcard af is gehaald, maken de meeste betaalkaart-aanbieders daar wel een zaak van en is de klant gedekt.
Supremo @Room4216 februari 2012 12:00
Als je alleen prepaid kaarten aan je mobiel koppelt, dan kan mij de beveiliging ook niet zo heel veel schelen. Mijn portemonnee heeft helemaal geen beveiliging.
me_mrtn 15 februari 2012 13:23
Ik ben eigenlijk wel benieuwd hoe de Rabobank dit heeft aangepakt met de app voor iOS. Hier is (voor betalingen, inzicht, et cetera) ook een pincode benodigd. Zal deze ook zijn opslagen via een hash op de telefoon en dan serverside worden gecheckt? Nu gebruik ik zelf een gejailbreakte iPhone dus ik ben hier wel benieuwd naar.
ronaldmathies @me_mrtn15 februari 2012 13:28
Wat ik zover heb kunnen vinden over de verschillende varianten is:

ABN-AMRO heeft voor het doen van betalingen / overmaken van geld nogsteeds de e-identifier nodig (en dus de bijbehorende pin-pas)

Rabobank vereist ook een e-identifier (staat in het volgende nieuws bericht: nieuws: ING brengt iOS- en Android-app uit) Ja, dit bericht gaat over ING maar Rabobank wordt er ook in genoemd.

ING werkt via de tan-codes die naar je telefoon gestuurd worden. Dus persoonlijk lijkt mij dit nog de meest zwakke van de drie. Want als je het apparaat hebt heb je dus ook de tancodes. Dus dan hou je alleen de beveiliging over van de pincode voor de app en de telefoon,.
Fly-guy
@ronaldmathies15 februari 2012 13:34
beide banken vragen om een identifier als het gaat om geld overmaken naar nummers die nog niet eerder zijn gebruikt. Ik kan dus als jij ooit geld naar mij hebt overgemaakt en als ikjouw pincode achterhaal dus wel zonder identifier geld stelen. Maar dat maakt het wel lastiger en potentieel achteraf makkelijker op te sporen.
ronaldmathies @Fly-guy15 februari 2012 14:27
Oke, ik dacht dat je bij de ABN (die gebruiken wij, tenminste niet ik maar mijn vrouw) altijd opnieuw de e-identifier moest gebruiken.
spoor12b 15 februari 2012 13:43
Klinkt behoorlijk veilig als je dus niet geroot bent. In theorie zal die factory reset waarschijnlijk niet de gehele flash overschrijven maar het wordt best lastig en loont waarschijnlijk de moeite niet meer.
blouweKip @spoor12b15 februari 2012 16:16
Dan nog, als je telefoon gejat is dan lijkt me een tegoed wat je op je wallet hebt staan nu niet direct iets waar je je primair zorgen over maakt.
ronaldmathies 15 februari 2012 13:23
Vindt het verhaal een beetje verwarrend, het probleem is gefixed maar er is niets gefixed. Als je root en de data weggooid kan je er nogsteeds bij en via een brute force kan je er ook nogsteeds bij...

Dit geeft mij niet het vertrouwen terug in Google Wallet.
spoor12b 15 februari 2012 13:26
Kan iemand nu dus een gestolen telefoon rooten om toegang te krijgen? Of moet dit toestel al geroot zijn door de eigenaar omdat bij het rooten de informatie verloren gaat?
hackerhater @spoor12b15 februari 2012 16:17
Doorsnee reboot het toestel bij een root-poging
Dus zonder de toestel-pin krijg je de telefoon niet meer aan.
Fly-guy
@spoor12b15 februari 2012 13:36
Zodra je een toestel root wordt er een factory reset uitgevoerd en ben je alles kwijt.
markheloking @Fly-guy15 februari 2012 14:32
Dit is overigens verkeerde informatie. Vaak word er om een telefoon te "rooten", en dus root toegang te krijgen, een volledige nieuwe rom geflashed. Hierbij heb je inderdaad te maken met een factory reset. Echter zijn er ook genoeg methoden voor verscheidene telefoons waarmee je zonder reset ook gewoon kunt rooten, met de stock firmware die je provider/telefoon leverancier erop heeft gezet.

Als voorbeeld mijn Acer Liquid MT. Daarop is het mogelijk om, wel met een custom recovery, te rooten zonder reset. Zowel de root als de recovery zijn op de telefoon te zetten zonder dat deze word gewist.
deredding 16 februari 2012 01:29
Tijd voor iets dat wel werkt, bitcoin ftw.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq