谷歌錢包曝出低級漏洞：用戶資金存失竊風險

　　2月10日晚間消息，美國媒體報道稱，谷歌錢包(Google Wallet)服務的一個漏洞能夠使攻擊者獲得用戶的個人識別碼(PIN)并竊取帳戶中的資金，攻擊者甚至沒有必要掌握專門的黑客技術。

　　本周早些時候，信息安全公司Zvelo發(fā)現(xiàn)了一個谷歌錢包近場通信(NFC)支付系統(tǒng)的漏洞，導致攻擊者可以獲得用戶手機的控制權，并竊取用戶帳戶中的資金。這一漏洞只有在用戶的Android設備獲得Root權限，同時沒有設置鎖屏密碼的情況下才能被利用。

　　不過，科技博客TheSmartphoneChamp發(fā)現(xiàn)了另一個漏洞，能夠對沒有獲得Root權限的Android設備起作用?？萍疾┛虶izmodo指出，最嚴重的問題在于，這一方法十分簡單，非技術專家也可以進行攻擊。

　　攻擊者只要清空應用設置中的數據，就可以重新設置PIN碼。只要輸入新的PIN碼，并綁定一張谷歌預付費卡，那么手機中此前預存的資金將可以繼續(xù)使用。隨后，無論什么人只要持有該手機，并在刷卡設備前刷一下，輸入他們新設定的PIN碼，那么就可以消費。

　　對于這一問題，谷歌發(fā)布聲明稱：“我們強烈建議丟失手機，或希望出售手機的人撥打谷歌錢包的免費技術支持電話855-492-5538，關閉預付費卡功能。我們正在開發(fā)一個自動解決方案，并將很快發(fā)布這一方案。我們還建議，所有谷歌錢包的用戶設定鎖屏密碼，以更好地保護手機?！?br>
　　目前用戶可以做的是啟用鎖屏密碼，對存儲系統(tǒng)進行加密，以及避免手機被別人拿開。不過在現(xiàn)實中，最后一點總是很難做到。

　　谷歌錢包目前的普及率還很低，只有Sprint運營的三星Nexus 4G手機支持這一服務。這意味著不會有太多人受到影響。不過這一問題也表明，隨著近場通信技術的發(fā)展，一些新的信息安全問題也在出現(xiàn)。只有解決這些問題，該技術才能成為主流。

廣告聲明：文內含有的對外跳轉鏈接（包括不限于超鏈接、二維碼、口令等形式），用于傳遞更多信息，節(jié)省甄選時間，結果僅供參考，IT之家所有文章均包含本聲明。