Android-Sicherheitslücke erlaubt Auslesen von Kreditkartendetails des Google Wallets unter seltenen Umständen

Derzeit macht ein Schlupfloch im Google-Wallet die Runde. Dieses soll es ermöglichen, auch bei gesperrtem Android-Smartphone, die Kreditkartendaten per NFC auszuspähen. Vorneweg: Die Lücke tritt nur unter bestimmten Bedingungen auf und bedarf das Auslesen der Karte aus nächster Nähe mithilfe eines NFC-Lesegeräts, wie dem Flipper Zero.

Das Ausnutzen der Sicherheitslücke zeigt der Nutzer MrTiz in folgendem Video:

Betroffen sind nach vorliegenden Informationen Android-Geräte ab Android-Version 5.0 und höher. Die Lücke erlaubt das Auslesen von Kreditkartendaten über NFC (und damit nur aus nächster Nähe) aus dem Google Wallet auch dann, wenn das Smartphone gesperrt ist. Freilich nur dann, falls das Google Wallet fürs mobile Bezahlen eingerichtet ist. Das Ganze funktioniert auch dann, wenn die Option „Entsperrung des Geräts für NFC erforderlich“ aktiviert ist.

Neben dem Umstand, dass das Auslesen nur mit direktem „Kontakt“ zum Smartphone möglich ist, erfordert eine weitere Bedingung. So muss der Android-Nutzer eine App „angepinnt“ haben. Das sind dann doch sehr spezielle Umstände, da dies nicht standardmäßig geschieht. Ein Ausnutzen der Lücke sollte demnach nur selten vorkommen. Google hat die Sicherheitslücke dennoch als „Hoch“ eingestuft. Ein entsprechender Sicherheitspatch ist bereits mit jenem vom September 2023 in Sicht. Dieser wird auf diversen Geräten von Samsung bereits verteilt und auch das Pixel dürfte diesen demnächst erhalten.

Transparenz: In diesem Artikel sind Partnerlinks enthalten. Durch einen Klick darauf ge­lan­gt ihr direkt zum Anbieter. Solltet ihr euch dort für einen Kauf entscheiden, erhalten wir ei­ne kleine Provision. Für euch ändert sich am Preis nichts. Partnerlinks haben keinerlei Einfluss auf unsere Berichterstattung.

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

Avatar-Foto

Baujahr 1995. Technophiler Schwabe & Lehrer. Unterwegs vor allem im Bereich Smart Home und ständig auf der Suche nach neuen Gadgets & Technik-Trends aus Fernost. X; Threads; LinkedIn. Mail: felix@caschys.blog

Neueste Beiträge

Mit dem Absenden eines Kommentars stimmst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.

22 Kommentare

  1. Welche App muss denn wie angepinnt sein?

  2. Dabei frage ich mich warum „NFC nur bei entsperrtem Gerät verwenden“ per default nicht aktiviert ist.

  3. Hat schon jemand das September-Update als Pixel-Nutzer erhalten?

    • Ich habe das September Update noch nicht bekommen.
      Ein Play System Update scheint auch ausgesetzt zu sein…… gibt zwar ne Benachrichtigung, doch das Update kann nicht installiert werden, trotz Neustart.
      Abgesehen von dieser Lücke sollen mit dem September Update ja noch 4 weitere, als kritisch eingestufte Lücken gestopft werden, von denen eine auf jeden Fall schon ausgenutzt wird.
      Wenn Google ihre Updates nicht in den Griff bekommt, schießen die sich ins eigene Bein. Die schnellen Updates von Google waren immer auch ein Kaufkriterium.

      • Hatten ebenfalls das Problem mit dem Play Store update dass sich tagelange nicht installieren lies trotz das es angezeigt wurde, ist immer sofort bei 0% des 44MB downloads abgebrochen, Aber gestern lies es sich dann plötzlich bei mir installieren. Version nun vom 1. August 2023.

        • Playstore Update vom 1. August und System Update vom 5.Aug sind aktueller Stand.
          Das September Update wurde vorerst zurück gestellt….

          • Offiziell ist das bisher allerdings nicht, meiner Meinung nach, dass das September-Update zurück gestellt ist. Oder hast Du da verlässliche Quellen?
            Wohlgemerkt, es geht nicht um das Update auf Android 14, es geht um die Sicherheitsupdates von September, das einige sehr kritische Lücken schließen soll.

  4. Aber NFC muss dafür ja erst mal an sein. Wer ist denn so verrückt und lässt das immer an?!

    • Ich und vermutlich der Rest der Welt, der einfach alles default lässt.
      NFC werde ich auch nicht abschalten, sonst wird bezahlen unbequem.

      • Einmal tippen in den Schnelleinstellungen, da dauert es länger, bis ich meine Karte aus dem Portemonnaie gefriemelt habe…

  5. GPay nicht als Standard festlegen! (Wallet öffnen zum Bezahlen)

    • Ist das so? Quelle? Oder ist das nur eine Vermutung?
      So lange keine App angepinnt ist, kann nichts abgegriffen werden. so der Bericht.

    • Richtig. Da viele Läden GPay nicht anbieten, ist das auch problemlos möglich, ohne Komforteinbußen. Meine Karte hab ich genau so schnell aus der Hosentasche geholt wie das Handy.
      Und mal ehrlich: NFC braucht man doch nur, wenn man aktiv was mit dem Handy macht, das Gerät also entsperrt ist.

  6. Ist das so? Quelle? Oder ist das nur eine Vermutung?
    So lange keine App angepinnt ist, kann nichts abgegriffen werden. so der Bericht.

  7. Es sind nahezu immer „spezielle Umstände“, die Vorliegen müssen, um diese oder ähnliche Lücken ausnutzen zu können. Insofern sehe ich solche Meldungen immer sehr gelassen. Natürlich sollte das behoben werden, aber so dramatisch, wie die Überschrift auf den ersten Blick vermuten lassen könnte, ist das m.E. nicht.

Es werden alle Kommentare moderiert. Lies auch bitte unsere Kommentarregeln:

Für eine offene Diskussion behalten wir uns vor, jeden Kommentar zu löschen, der nicht direkt auf das Thema abzielt oder nur den Zweck hat, Leser oder Autoren herabzuwürdigen. Wir möchten, dass respektvoll miteinander kommuniziert wird, so als ob die Diskussion mit real anwesenden Personen geführt wird. Dies machen wir für den Großteil unserer Leser, der sachlich und konstruktiv über ein Thema sprechen möchte - gerne auch mit Humor. In jedes Thema Politik einbringen ist nicht erwünscht.

Du willst nichts verpassen?

Du hast die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren.