谷歌錢包是谷歌去年推出的一項(xiàng)NFC移動(dòng)支付服務(wù)
新浪科技訊 北京時(shí)間2月13日早間消息,在谷歌錢包的漏洞被曝光后,谷歌上周六已經(jīng)暫停了該服務(wù)與預(yù)付費(fèi)卡的關(guān)聯(lián)功能。
在這一聲明發(fā)布前,有關(guān)谷歌錢包的漏洞可以導(dǎo)致用戶資金被竊的消息,已經(jīng)在互聯(lián)網(wǎng)上傳得沸沸揚(yáng)揚(yáng)。利用這一漏洞,未授權(quán)用戶也可以竊取用戶賬號(hào)資金。
谷歌錢包和支付業(yè)務(wù)副總裁奧薩馬·拜德勒(Osama Bedler)說:“我們很快就將發(fā)布正式解決方案,在此之前,將繼續(xù)采取這一預(yù)防措施。”
這一安全漏洞是上周四被一個(gè)自稱“The Smartphone Champ”的博客作者揭露的。他表示,打開Android手機(jī)的設(shè)置界面,清空所有有關(guān)谷歌錢包的設(shè)置,未經(jīng)授權(quán)的用戶就可以訪問此前與該服務(wù)關(guān)聯(lián)的預(yù)付費(fèi)卡賬號(hào)。
此前一天,安全公司Zvelo剛剛發(fā)布了一種破解谷歌錢包PIN碼的方法。該公司發(fā)現(xiàn),谷歌錢包的PIN碼并未存儲(chǔ)在硬件“安全單元”中,而是存放于一個(gè)被Android系統(tǒng)保護(hù)的數(shù)據(jù)庫中。通過對(duì)該數(shù)據(jù)庫的強(qiáng)力攻擊,黑客就可以獲取PIN碼。
但這種攻擊僅適用于獲得了Root權(quán)限的賬號(hào)。手機(jī)廠商都不鼓勵(lì)用戶獲取Root權(quán)限,因?yàn)檫@樣不僅會(huì)影響設(shè)備保修,而且可能會(huì)產(chǎn)生安全漏洞。
如果用戶設(shè)置了鎖屏密碼,便可不受這兩項(xiàng)漏洞的影響。該功能會(huì)在手機(jī)被激活時(shí)要求用戶輸入PIN碼,而如果未授權(quán)用戶不知道PIN碼,便無法發(fā)動(dòng)攻擊。但很多用戶因?yàn)榕侣闊┎⑽丛O(shè)置這一功能。
值得注意的是,未經(jīng)授權(quán)的用戶都必須親手接觸到手機(jī)才能利用上述漏洞,而無法通過惡意軟件遠(yuǎn)程操作。
另外,這些漏洞都源于谷歌錢包,而非該服務(wù)所使用的NFC(近場通訊)技術(shù)。例如,如果谷歌將谷歌錢包的PIN碼存放在硬件的安全單元中,幾乎就不會(huì)被破解。而Zvelo研究員約書亞·魯賓(Joshua Rubin)也表示:“即使出現(xiàn)這兩個(gè)漏洞,谷歌錢包仍比目前使用的信用卡更安全。”(書聿)
推薦閱讀
一個(gè)號(hào)稱一對(duì)一、零扣率的網(wǎng)站屈正愛心網(wǎng)近日隆重上線。這家救助貧困先心病患兒的專業(yè)網(wǎng)站,由國內(nèi)著名心臟病專家、中國青年科技獎(jiǎng)獲得者、煤炭總醫(yī)院副院長兼心臟中心主任屈正教授策劃并發(fā)起。 愛心人士可以通過網(wǎng)站>>>詳細(xì)閱讀
本文標(biāo)題:谷歌錢包存安全漏洞 暫停與預(yù)付費(fèi)卡關(guān)聯(lián)功能
地址:http://www.xglongwei.com/a/22/20120213/30477.html
網(wǎng)友點(diǎn)評(píng)
精彩導(dǎo)讀
科技快報(bào)
品牌展示