Google Wallet gebruikt geen volledige versleuteling voor de opslag van creditcardnummer, saldo en andere informatie. Dat stelt forensisch onderzoeksbedrijf ViaForensics na een analyse van de mobiele betaaldienst op een gejailbreakte telefoon. De gegevens op het apparaat worden in verschillende SQLite databases in onversleutelde vorm bewaard en bevatten de naam op de kaart, de laatste vier getallen van het creditcardnummer, bestedingslimiet, verloopdatum, transactiedata en locaties. Daarnaast maakt de applicatie een afbeelding van een creditcard die te achterhalen valt en voor social engineering-aanvallen gebruikt zou kunnen worden.

"Google Wallet weet volledig creditcardnummers aardig te beschermen, de hoeveelheid data die Google Wallet onversleuteld opslaat is aanzienlijk", aldus de onderzoekers, die opmerken dat op de eerste twaalf cijfers van het creditcardnummer na bijna alles onversleuteld wordt opgeslagen. "Veel consumenten zouden het niet acceptabel vinden als mensen hun creditcardsaldo of limiet zouden weten."

Aanval
Volgens de onderzoekers zijn de gegevens erg bruikbaar voor social engineering-aanvallen op de consument of een aanbieder. "Als ik je naam weet, wanneer je de kaart voor het laatst hebt gebruikt, de laatste vier cijfers en verloopdatum, weet ik zeker dat ik de informatie in mijn voordeel kan gebruiken. Als je andere gegevens toevoegt die eenvoudig online zijn te vinden, zoals adresgegevens, heeft een aanvaller voldoende voor een succesvolle social engineering-aanval."

Verder blijkt dat als de transacties worden verwijderd of de Google Wallet wordt gereset, de naam op de kaart, verloopdatum, laatste vier cijfers en e-mailaccount alsnog zijn te achterhalen. Wie zijn telefoon verkoopt krijgt dan ook het advies om de telefoon volledig te resetten Google Wallet biedt wel voldoende bescherming tegen Man-in-the-Middle aanvallen op een draadloos netwerk. ViaForensics heeft voor de publicatie Google ingelicht en tenminste één beveiligingsprobleem is inmiddels via een update opgelost.