Google Wallet lekt persoonlijke creditcard informatie

Persoonlijke informatie ligt bij Google Wallet mogelijk zomaar voor het grijpen, dit blijkt uit een onderzoek door beveilingsbureau ViaForensics. Tot nu toe geldt het alleen voor toetstellen met een zogeheten roottoegang.

Testen met een Nexus S 4G lieten zien dat de bestanden die worden weggeschreven bij een betalingen allerlei bestanden bevatten zoals transactiedetails. Daarnaast zouden de bestanden ook details bevatten over de creditcards: rekeningsaldi, kredietlimieten, vervaldata en de laatste vier cijfers van de kaartnummers. “Veel gebruikers zouden het niet waarderen als mensen hun kaartsalso of -limiet weten”, schrijft ViaForensics in het rapport. “Verder is het mogelijk deze data te gebruiken in een social engineering-aanval (misleiding) tegen de consument.”

Daarnaast waren er volgens het beveilingsbureau ook afbeeldingen met gedeeltelijke creditcardinformatie aanwezig in het bestandssysteem, die bij het verwijderen van een creditcard in Google Wallet bleef bewaard in de transactiegeschiedenis. Gelukkig werden deze eerder al opgelost met een software-update. De kwetsbaarheden zouden tot nu toe alleen gelden op toestellen met een roottoegang. Een roottoegang geeft de gebruiker volledige toegang tot het besturingssysteem en onderliggende bestanden van zijn smartphone.

Google gaf in een reactie aan dat het rapport zich alleen concentreert op toestellen met een roottoegang. “Maar zelfs in dat geval beveiligt het systeem de betalingsinstrumenten, inclusief kredietkaart- en CVV-nummers. Android beschermt actief tegen malafide programma’s die roottoegang proberen te verkrijgen zonder medeweten van de gebruiker.”