Android-Sicherheitslücke erlaubt Auslesen von Kreditkartendetails des Google Wallets unter seltenen Umständen
von Felix Frank | 22 Kommentare
Derzeit macht ein Schlupfloch im Google-Wallet die Runde. Dieses soll es ermöglichen, auch bei gesperrtem Android-Smartphone, die Kreditkartendaten per NFC auszuspähen. Vorneweg: Die Lücke tritt nur unter bestimmten Bedingungen auf und bedarf das Auslesen der Karte aus nächster Nähe mithilfe eines NFC-Lesegeräts, wie dem Flipper Zero.
Das Ausnutzen der Sicherheitslücke zeigt der Nutzer MrTiz in folgendem Video:
Betroffen sind nach vorliegenden Informationen Android-Geräte ab Android-Version 5.0 und höher. Die Lücke erlaubt das Auslesen von Kreditkartendaten über NFC (und damit nur aus nächster Nähe) aus dem Google Wallet auch dann, wenn das Smartphone gesperrt ist. Freilich nur dann, falls das Google Wallet fürs mobile Bezahlen eingerichtet ist. Das Ganze funktioniert auch dann, wenn die Option „Entsperrung des Geräts für NFC erforderlich“ aktiviert ist.
Neben dem Umstand, dass das Auslesen nur mit direktem „Kontakt“ zum Smartphone möglich ist, erfordert eine weitere Bedingung. So muss der Android-Nutzer eine App „angepinnt“ haben. Das sind dann doch sehr spezielle Umstände, da dies nicht standardmäßig geschieht. Ein Ausnutzen der Lücke sollte demnach nur selten vorkommen. Google hat die Sicherheitslücke dennoch als „Hoch“ eingestuft. Ein entsprechender Sicherheitspatch ist bereits mit jenem vom September 2023 in Sicht. Dieser wird auf diversen Geräten von Samsung bereits verteilt und auch das Pixel dürfte diesen demnächst erhalten.
| # | Vorschau | Produkt | Preis | |
|---|---|---|---|---|
| 1 |
|
Samsung Galaxy S23 SM-S911BZKDEUB | 540,30 EUR | Bei Amazon ansehen |
| 2 |
|
Samsung Galaxy S23 AI-Android-Smartphone, 128GB, 3.900mAh Akku, Smartphone ohne Vertrag Green inkl.... |
695,13 EUR |
Bei Amazon ansehen |
| 3 |
|
Samsung Galaxy S23 FE, Dual, 128Gb 8Gb Ram, Graphite S711B/DS |
585,49 EUR |
Bei Amazon ansehen |
Transparenz: In diesem Artikel sind Partnerlinks enthalten. Durch einen Klick darauf gelangt ihr direkt zum Anbieter. Solltet ihr euch dort für einen Kauf entscheiden, erhalten wir eine kleine Provision. Für euch ändert sich am Preis nichts. Partnerlinks haben keinerlei Einfluss auf unsere Berichterstattung.
Wird geladen ...
Welche App muss denn wie angepinnt sein?
Danke. Die Frage habe ich auch.
Im verlinkten Github steht dass es egal ist welche App gepinnt ist. Das Problem tritt erst nach dem entpinnen auf.
https://github.com/MrTiz/CVE-2023-35671
Einfach das Video anschauen. Welche App ist egal.
Dabei frage ich mich warum „NFC nur bei entsperrtem Gerät verwenden“ per default nicht aktiviert ist.
Diese Funktion gibt es nichtmal standardmäßig bei Android, nur auf Pixel Geräten. Ich habe das bei mir seit eh und je mit Tasker gelöst, NFC wird nur bei entsperrtem Gerät aktiviert, zudem wird mein Smartphone grundsätzlich per PIN entsperrt, nicht per Fingerabdruck oder Gesicht, da geht mir Sicherheit über Bequemlichkeit.
Hätte ja auch Nichts gebracht:
Das Ganze funktioniert auch dann, wenn die Option „Entsperrung des Geräts für NFC erforderlich“ aktiviert ist.
Das beantwortet meine Frage nicht.
Das Ganze funktioniert NUR dann, wenn „Entsperrung des Geräts für NFC erforderlich“ aktiviert ist.
Siehe Artikel:
https://9to5google.com/2023/09/13/android-nfc-credit-card-detail-loophole/
Hat schon jemand das September-Update als Pixel-Nutzer erhalten?
Ich habe das September Update noch nicht bekommen.
Ein Play System Update scheint auch ausgesetzt zu sein…… gibt zwar ne Benachrichtigung, doch das Update kann nicht installiert werden, trotz Neustart.
Abgesehen von dieser Lücke sollen mit dem September Update ja noch 4 weitere, als kritisch eingestufte Lücken gestopft werden, von denen eine auf jeden Fall schon ausgenutzt wird.
Wenn Google ihre Updates nicht in den Griff bekommt, schießen die sich ins eigene Bein. Die schnellen Updates von Google waren immer auch ein Kaufkriterium.
Hatten ebenfalls das Problem mit dem Play Store update dass sich tagelange nicht installieren lies trotz das es angezeigt wurde, ist immer sofort bei 0% des 44MB downloads abgebrochen, Aber gestern lies es sich dann plötzlich bei mir installieren. Version nun vom 1. August 2023.
Playstore Update vom 1. August und System Update vom 5.Aug sind aktueller Stand.
Das September Update wurde vorerst zurück gestellt….
Offiziell ist das bisher allerdings nicht, meiner Meinung nach, dass das September-Update zurück gestellt ist. Oder hast Du da verlässliche Quellen?
Wohlgemerkt, es geht nicht um das Update auf Android 14, es geht um die Sicherheitsupdates von September, das einige sehr kritische Lücken schließen soll.
Aber NFC muss dafür ja erst mal an sein. Wer ist denn so verrückt und lässt das immer an?!
Ich und vermutlich der Rest der Welt, der einfach alles default lässt.
NFC werde ich auch nicht abschalten, sonst wird bezahlen unbequem.
Einmal tippen in den Schnelleinstellungen, da dauert es länger, bis ich meine Karte aus dem Portemonnaie gefriemelt habe…
GPay nicht als Standard festlegen! (Wallet öffnen zum Bezahlen)
Ist das so? Quelle? Oder ist das nur eine Vermutung?
So lange keine App angepinnt ist, kann nichts abgegriffen werden. so der Bericht.
Richtig. Da viele Läden GPay nicht anbieten, ist das auch problemlos möglich, ohne Komforteinbußen. Meine Karte hab ich genau so schnell aus der Hosentasche geholt wie das Handy.
Und mal ehrlich: NFC braucht man doch nur, wenn man aktiv was mit dem Handy macht, das Gerät also entsperrt ist.
Ist das so? Quelle? Oder ist das nur eine Vermutung?
So lange keine App angepinnt ist, kann nichts abgegriffen werden. so der Bericht.
Es sind nahezu immer „spezielle Umstände“, die Vorliegen müssen, um diese oder ähnliche Lücken ausnutzen zu können. Insofern sehe ich solche Meldungen immer sehr gelassen. Natürlich sollte das behoben werden, aber so dramatisch, wie die Überschrift auf den ersten Blick vermuten lassen könnte, ist das m.E. nicht.