Linzer Forscher löst Sicherheitsproblem für Google

Linzer Forscher loest Sicherheitsproblem
Google Wallet: Bezahlen mit dem Smartphone(c) Reuters (� Shannon Stapleton / Reuters)

Google hat den 28-Jährigen in seine "Hall of Fame" aufgenommen. Er hatte geholfen, eine Schwachstelle in der Handy-Geldbörse "Wallet" zu schließen.

Ein junger Linzer hat es in die "Hall of Fame" für Sicherheit von Google geschafft. Michael Roland hatte eine Sicherheitslücke in Googles Handy-Geldbörse "Wallet" entdeckt, gemeldet und bei der Lösung des Problems geholfen. "Wallet" ermöglicht Zahlungen mit dem Smartphone über den Kurzdistanzfunk NFC bei speziellen Terminals - ähnliche Lösungen werden in Österreich etwa von A1/Paybox und Kreditkartenfirmen angeboten. Ein Fehler in "Wallet" habe unerlaubte Transaktionen durch Angreifer ermöglicht, heißt es in einer Aussendung der Fachhochschule Oberösterreich, an der der Roland als Forscher arbeitet. Die Aufnahme in die "Hall of Fame" für Sicherheit ist für den jungen Forscher eine "große Ehre".

Zahlung umgeleitet

Der 28-Jährige ist der Sicherheitslücke mit einer speziellen Chip-Karte auf die Schliche gekommen. Mit der Karte konnte er einen Zahlungsvorgang zwischen einem Terminal und einem NFC-Handy umleiten. Theoretisch wären so Zahlungen mit fremden Kreditkarten möglich, erklärt Roland. Er habe die Schwachstelle umgehend an Google gemeldet. Mittlerweile sei die Lücke mit einem entsprechenden Update geschlossen worden. Google Wallet kann derzeit nur in den USA genutzt werden.

NFC-Smartphones grundsätzlich unsicher

Grundsätzlich steht er NFC-Smartphones kritisch gegenüber. "Die NFC-Mikrochips selbst sind sehr gut gegen Manipulation geschützt. Aber wenn man sie in ein Telefon einbaut und von einer App oder extern darauf zugreifen kann, so bietet das Angreifern ganz neue Möglichkeiten des Datendiebstahls", so der Forscher. Der derzeitige Standard, der NFC-Tags vor Manipulationen schützen soll, sei außerdem fehlerhaft. Auch dafür hat der Experte bereits eine Lösung parat - sie sei aber erst im "akademischen Bereich" angelangt und müsse erst in den Standard übernommen werden.

Michael Roland(c) FH OÖ