Het blijkt kinderlijk eenvoudig om toegang te krijgen tot een account van Googles mobiele betaaldienst Wallet. Door de data die in de app is opgeslagen weg te gooien wordt om een nieuwe pincode gevraagd, waardoor een hack niet nodig is.

De applicatiedata kan gemakkelijk weggegooid worden door naar de instellingen van het Android-apparaat te gaan. Wanneer een kwaadwillende dan een prepaid betaalkaart van Google met Wallet koppelt, wordt er toegang verkregen tot het geld dat de gebruiker al via prepaid op zijn telefoon had gezet. Omdat prepaidtegoed gekoppeld is aan de telefoon en niet aan een account, blijft het geld beschikbaar ondanks het resetten van de applicatiedata.

Google raadt Wallet-gebruikers die hun telefoon hebben verloren aan om te bellen met de klantenservice om de prepaidkaarten die het bedrijf aanbiedt te laten blokkeren. Daardoor zou de truc niet meer werken. Er wordt gewerkt aan een software-update die volgens de internetgigant snel wordt uitgerold.

Kortgeleden kwam Wallet al in het nieuws doordat een beveiligingsbedrijf er in was geslaagd de pincode te achterhalen. Er werd daarbij een brute force-aanval gebruikt om hashes van de pincode uit te lezen. Deze techniek bleek alleen te werken op Android-toestellen die roottoegang hebben, waardoor de impact beperkt blijft. De nieuwere methode is echter een stuk simpeler en werkt bij alle gebruikers van Wallet. Wel moeten kwaadwillenden het Android-apparaat van de Wallet-gebruiker in handen hebben en toegang tot het toestel hebben.

Bron: tweakers.net