Google Wallet lekt gevoelige data
Niet versleuteld
14 december 2011 | Jeroen Geuens
Google Wallet houdt je creditcardnummers dan wel veilig bij je, maar je persoonlijke informatie ligt mogelijk zomaar voor het grijpen. Tot die vaststelling komt beveiligingsbureau ViaForensics.
Met een Nexus S 4G die werd geroot ontdekte de firma dat de applicatie onversleutelde databasebestanden wegschrijft. De bestanden bevatten transactiedetails, net als details over de creditcards: rekeningsaldi, kredietlimieten, vervaldata en de laatste vier cijfers van de kaartnummers.
“Veel gebruikers zouden het niet waarderen als mensen hun kaartsalso of -limiet weten”, schrijft het bedrijf in het rapport. “Verder is het mogelijk deze data te gebruiken in een social engineering-aanval [misleiding] tegen de consument.”
Nog meer zwakke plekken
Twee andere zwakke plekken werden ook ontdekt: er waren afbeeldingen met gedeeltelijke creditcardinformatie aanwezig in het bestandssysteem, en bij het verwijderen van een creditcard in Google Wallet bleef de transactiegeschiedenis bewaard. Beide problemen werden gelukkig wel opgelost met een software-update.
Hoewel deze kwetsbaarheden zorgwekkend klinken, moet het wel gezegd dat ze alleen gelden op toestellen met roottoegang - wanneer een gebruiker dus volledige toegang heeft tot het besturingssysteem en onderliggende bestanden van zijn smartphone.
Google verdedigt zijn implementatie in een verklaring. Het zegt dat het rapport zich concentreert op toestellen met roottoegang. “Maar zelfs in dat geval beveiligt het systeem de betalingsinstrumenten, inclusief kredietkaart- en CVV-nummers. Android beschermt actief tegen malafide programma’s die roottoegang proberen te verkrijgen zonder medeweten van de gebruiker.”
Hoewel dat correct is, is het duidelijk makkelijk om een gestolen smartphone te kraken en alle informatie erop te verzamelen. Maar de verspreiding van Google Wallet gaat met een slakkengangetje - de Nexus S 4G is de enige smartphone die de functie officieel ondersteunt - dus Google heeft nog tijd genoeg om de bevindingen van ViaForensics aan te pakken.
bron: ZDNet
» Review Ubuntu 12.04 (Precise Pagolin)
reviews
Ubuntu kennen we als solide en bruikbaar linuxbesturingssysteem. Versie 12.04 heeft een nieuwe kernel en gebruikersinterface Unity is hier en daar bruikbaarder geworden.
» De technologie van het 9/11-monument
news
Meer dan twee miljoen mensen hebben de herdenkingsplek voor de ramp van 11 september bezocht. Velen gebruiken technologie om alles uit de ervaring te halen.
» Wel borstvoeding, geen tepels op Facebook
news
Een ontevreden Facebookwerknemer besliste onlangs de richtlijnen voor het verwijderen van content te lekken aan nieuwssite Gawker. Dat deed het nodige stof opwaaien.
Review: Diablo III
Game
Twintig jaar geleden redde een groepje naamloze helden de wereld. Nu is het aan een nieuwe generatie om de demonen terug richting de hel te sturen.
