谷歌錢包是谷歌去年推出的一項NFC移動支付服務
新浪科技訊 北京時間2月13日早間消息,在谷歌錢包的漏洞被曝光后,谷歌上周六已經暫停了該服務與預付費卡的關聯功能。
在這一聲明發布前,有關谷歌錢包的漏洞可以導致用戶資金被竊的消息,已經在互聯網上傳得沸沸揚揚。利用這一漏洞,未授權用戶也可以竊取用戶賬號資金。
谷歌錢包和支付業務副總裁奧薩馬·拜德勒(Osama Bedler)說:“我們很快就將發布正式解決方案,在此之前,將繼續采取這一預防措施。”
這一安全漏洞是上周四被一個自稱“The Smartphone Champ”的博客作者揭露的。他表示,打開Android手機的設置界面,清空所有有關谷歌錢包的設置,未經授權的用戶就可以訪問此前與該服務關聯的預付費卡賬號。
此前一天,安全公司Zvelo剛剛發布了一種破解谷歌錢包PIN碼的方法。該公司發現,谷歌錢包的PIN碼并未存儲在硬件“安全單元”中,而是存放于一個被Android系統保護的數據庫中。通過對該數據庫的強力攻擊,黑客就可以獲取PIN碼。
但這種攻擊僅適用于獲得了Root權限的賬號。手機廠商都不鼓勵用戶獲取Root權限,因為這樣不僅會影響設備保修,而且可能會產生安全漏洞。
如果用戶設置了鎖屏密碼,便可不受這兩項漏洞的影響。該功能會在手機被激活時要求用戶輸入PIN碼,而如果未授權用戶不知道PIN碼,便無法發動攻擊。但很多用戶因為怕麻煩并未設置這一功能。
值得注意的是,未經授權的用戶都必須親手接觸到手機才能利用上述漏洞,而無法通過惡意軟件遠程操作。
另外,這些漏洞都源于谷歌錢包,而非該服務所使用的NFC(近場通訊)技術。例如,如果谷歌將谷歌錢包的PIN碼存放在硬件的安全單元中,幾乎就不會被破解。而Zvelo研究員約書亞·魯賓(Joshua Rubin)也表示:“即使出現這兩個漏洞,谷歌錢包仍比目前使用的信用卡更安全。”(書聿)
推薦閱讀
一個號稱一對一、零扣率的網站屈正愛心網近日隆重上線。這家救助貧困先心病患兒的專業網站,由國內著名心臟病專家、中國青年科技獎獲得者、煤炭總醫院副院長兼心臟中心主任屈正教授策劃并發起。 愛心人士可以通過網站>>>詳細閱讀
地址:http://www.brh9h.cn/a/22/20120213/30477.html
網友點評
精彩導讀
科技快報
品牌展示